Od czasu naruszenia danych Equifax z września 2017 r., które ujawniło dane osobowe 147 milionów Amerykanów, oraz wielu innych głośnych naruszeń danych, które miały miejsce od tego czasu, bezpieczeństwo danych i prywatność danych stały się pilnymi problemami na poziomie zarządu.
„Skandal z firmą Equifax to miejsce, w którym wiele nieodłącznych problemów naprawdę pojawiło się na poziomie biznesowym”, powiedział Aaron Shum, lider praktyki, Bezpieczeństwo, Prywatność, Ryzyko i Zgodność, w Info-Tech Research Group. „To właśnie tam odkryliśmy poziom niekompetencji, jaki może istnieć w organizacji”.
Według raportu specjalnego 2019 Edelman Trust Barometer: In Brands We Trust?, 81% konsumentów stwierdziło, że wiarygodność marki odgrywa istotną rolę w ich decyzjach zakupowych. Innymi słowy, naruszenia danych stanowią dziś nie tylko ryzyko finansowe w postaci kar, ale także zagrażają marce i reputacji organizacji, bezpośrednio wpływając na jej zdolność do pozyskiwania nowych klientów i utrzymywania obecnych.
„Przedsiębiorstwa muszą traktować prywatność zarówno jako kwestię zgodności z przepisami, jak i ryzyko biznesowe, aby zmniejszyć sankcje regulacyjne i skutki komercyjne, takie jak utrata reputacji i konsekwentna utrata klientów z powodu naruszenia prywatności”, powiedział
Steve Durbin, dyrektor zarządzający Information Security Forum w Wielkiej Brytanii.
Więcej niż semantyka
Dla wielu osób spoza społeczności infosec, terminy „bezpieczeństwo danych” i „prywatność danych” są często używane zamiennie. W rzeczywistości, mimo że mają one wspólny cel, nie są tożsame, powiedział Greg Ewing, partner ds. cyberbezpieczeństwa w Potomac Law.
„Różnica pomiędzy prywatnością danych a bezpieczeństwem danych jest różnicą pomiędzy ochroną czyichś informacji osobistych a środkami bezpieczeństwa, które masz w miejscu, aby chronić wszystkie informacje swojej firmy,” powiedział.
Wraz z regulacjami takimi jak California Consumer Privacy Act (CCPA) i General Data Protection Regulation (GDPR) w UE, to rozróżnienie jest czymś więcej niż tylko kwestią semantyki. GDPR, na przykład, nakłada poważne kary finansowe, które mogą sięgać miliardów dolarów za naruszenia danych obejmujące informacje umożliwiające identyfikację osób (PII) obywateli UE. Przy kwocie od 2 500 do 7 500 USD za każdy rekord PII, kary za nieprzestrzeganie przepisów ustawy CCPA również mogą się szybko sumować.
Przy pandemii COVID-19, która nie wykazuje oznak ustąpienia, więcej osób spędza więcej czasu w Internecie niż kiedykolwiek. Ogromna zmiana w użytkowaniu online zarówno przed jak i po COVID-19, w połączeniu z ogólnym brakiem zaufania do sposobu, w jaki duże media społecznościowe i firmy rozrywkowe zarabiają na danych klientów, nie pozostaje niezauważona przez państwowe organy regulacyjne. Według Krajowej Konferencji Ustawodawców Stanowych, ustawy dotyczące prywatności są obecnie rozpatrywane w 30 stanach.
„Prywatność danych jest, w istocie, podzbiorem bezpieczeństwa danych organizacji,” powiedział Ewing. „Rozróżnienie jest ważne, ponieważ, chociaż narzędzia używane do utrzymania prywatności danych i zapewnienia bezpieczeństwa danych mogą się pokrywać, te dwa są zazwyczaj adresowane inaczej przez różne zespoły używające różnych narzędzi”.
To nakładanie się może powodować zamieszanie, pozostawiając firmy, które skupiają się tylko na bezpieczeństwie danych, z fałszywym wrażeniem, że domyślnie prywatność danych również jest chroniona. Nie jest to prawdą. W przeciwieństwie do bezpieczeństwa danych, które koncentruje się na ochronie wszystkich danych organizacji przed kradzieżą lub uszkodzeniem (np. podczas ataku ransomware), ochrona prywatności danych jest bardziej szczegółowa. Aby zapewnić prywatność danych, organizacje muszą zrozumieć, śledzić i kontrolować takie rzeczy, jak to, kto jest upoważniony do dostępu do danych i gdzie dane są przechowywane – na przykład w chmurze zgodnej z Health Insurance Portability and Accountability Act (HIPAA).
Dobrym przykładem różnic między prywatnością danych a bezpieczeństwem danych było zbieranie 87 milionów profili użytkowników Facebooka przez nieistniejącą już polityczną firmę konsultingową Cambridge Analytica podczas wyborów prezydenckich w USA w latach 2016-17, powiedział Joshua Kail, konsultant ds. komunikacji, który prowadził PR po stronie agencji dla Cambridge Analytica, dopóki nie zamknęła się w maju 2018 r. Nawet jeśli dane były bezpieczne, Facebook nadużył własnej polityki prywatności i dekretu o zgodzie FTC z 2011 roku dotyczącego wykorzystania danych użytkowników.
„To był dziwny przypadek niepowodzenia bezpieczeństwa danych z perspektywy w tym, że w zasadzie przekazali dane, a następnie zostały one wykorzystane w niewłaściwy sposób, a nie tradycyjny złośliwy cyberatak”, powiedział. „Jeśli chodzi o prywatność danych, wszyscy straciliśmy to w momencie, w którym zarejestrowaliśmy się z kontem. Naprawdę, to nie były 'nasze dane’, które zostały wykorzystane przez Cambridge, to były dane Facebooka o nas. To rozróżnienie jest tam, gdzie mieszka prawdziwe niebezpieczeństwo w obecnych politykach danych.”
Kail pojawił się ostatnio w podcaście TechRepublic Dynamic Developer Billa Detwilera, omawiając prywatność danych i prawa do danych.
Kwestia zaufania
Choć prywatność danych staje się z każdym rokiem bardziej regulowana, jest to wciąż kwestia, która dziś w dużej mierze sprowadza się do zaufania, powiedział Kayne McGladrey, członek IEEE i strateg ds. bezpieczeństwa cybernetycznego w Ascent Solutions. Jak pokazuje backlash w następstwie skandalu Cambridge Analytica, to, czego ludzie oczekują od firm, z którymi prowadzą interesy, jest równie ważne jak prawa, które regulują wykorzystanie ich danych.
„Dzisiejsza prywatność danych dotyczy przede wszystkim przetwarzania danych osobowych w oparciu o prawa, przepisy i normy społeczne” – powiedział McGladrey. „Często jest to reprezentowane przez konsumenta ignorującego niezrozumiałą politykę prywatności (której przeczytanie zajęłoby prawie 20 minut) przed kliknięciem przycisku, aby potwierdzić swoją zgodę na tę politykę. Ich akceptacja polityki pozwala organizacji na obchodzenie się z ich danymi w udokumentowany sposób, np. wykorzystując je do wyświetlania im ukierunkowanych reklam opartych na ich przypuszczalnych zainteresowaniach. Jednakże, jeśli ta organizacja sprzedała te dane osobowe innej organizacji, aby zrobić coś nieoczekiwanego (jak wykorzystanie ich do tłumienia chronionej wolności słowa) bez zgody konsumenta, byłoby to naruszenie prywatności, albo przez kontrolę regulacyjną, albo przez naruszenie norm społecznych.”
Biorąc pod uwagę wszystko, co wydarzyło się w ciągu ostatnich kilku lat — ciągłe bicie bębna masowych naruszeń danych i stale nasilające się cyberataki na firmy i osoby prywatne — nie jest zaskakujące, że ludzie czują, że ich dane nie są już bezpieczne w rękach firm, z którymi robią interesy, lub rządów, które upoważniają do ich zbierania.
Z powodu tej nieufności, imperatyw dla firm, aby wyjść naprzeciw tym problemom nie mógłby być większy, powiedziała Lili Ana, kierownik ds. zarządzania bezpieczeństwem informacji w loanDepot.
„Ponieważ branża hakerska szybko się rozwija, a cyberprzestępcy stają się coraz lepiej finansowani, a globalna transformacja cyfrowych miejsc pracy w domu nadal staje się nową normą, firmy muszą podjąć działania w celu zrozumienia bezpieczeństwa informacji i tego, jak prywatność i bezpieczeństwo danych współpracują ze sobą, aby chronić firmy i konsumentów” – powiedziała Ana. „Inwestowanie w zabezpieczenie swojej firmy w podejściu proaktywnym jest znacznie mniej kosztowne niż alternatywa, którą jest incydent lub naruszenie danych, które nie tylko może zniszczyć firmę, ale może zrujnować reputację, wiarygodność i zaufanie konsumentów”.
Zobacz także
- Firmy ze słabymi praktykami prywatności są o 80% bardziej narażone na naruszenie danych (TechRepublic)
- Firmy często polegają na procesach ręcznych, aby zachować zgodność z nowym prawem prywatności w Kalifornii (TechRepublic)
- Jak korzystać z zaawansowanej dystrybucji zabezpieczeń i prywatności Whonix (TechRepublic)
- Zoom: Spełniliśmy wszystkie nasze obietnice dotyczące bezpieczeństwa i prywatności, poza jedną (TechRepublic)
- Klienci nie chcą rezygnować ze swoich danych ze względu na obawy dotyczące prywatności, Okta odkrywa (TechRepublic)
- Większość Amerykanów jest skłonna zrezygnować z prywatności danych osobowych, aby zwalczyć rozprzestrzenianie się COVID-19 (TechRepublic)