De la încălcarea datelor Equifax din septembrie 2017, care a expus informațiile personale a 147 de milioane de americani, și de la multe alte încălcări de date de profil înalt care au avut loc de atunci, securitatea și confidențialitatea datelor au devenit preocupări presante la nivelul consiliului de administrație.
„Dezastrul Equifax este momentul în care o mulțime de probleme inerente au ieșit cu adevărat la suprafață la nivel de afaceri”, a declarat Aaron Shum, practice lead, Security, Privacy, Risk, and Compliance, la Info-Tech Research Group. „Este momentul în care am descoperit nivelul de incompetență care poate exista într-o organizație.”
Potrivit Raportului special al Barometrului de încredere Edelman din 2019: În mărcile în care avem încredere?”, 81% dintre consumatori au declarat că fiabilitatea mărcii joacă un rol important în deciziile lor de cumpărare. Cu alte cuvinte, breșele de date din ziua de azi nu reprezintă doar un risc financiar sub formă de penalități, ci pun în pericol și marca și reputația unei organizații, având un impact direct asupra capacității acesteia de a atrage noi clienți și de a-i păstra pe cei existenți.
„Întreprinderile trebuie să trateze confidențialitatea atât ca pe o problemă de conformitate, cât și ca pe un risc de afaceri, pentru a reduce sancțiunile de reglementare și impactul comercial, cum ar fi daunele aduse reputației și pierderea consecventă a clienților ca urmare a încălcărilor de confidențialitate”, a declarat
Steve Durbin, director general al Forumului pentru securitate informațională din Marea Britanie.
Mai mult decât semantică
Pentru mulți din afara comunității infosec, termenii „securitatea datelor” și „confidențialitatea datelor” sunt deseori utilizați în mod interschimbabil. În realitate, chiar dacă au un scop comun, nu sunt același lucru, a declarat Greg Ewing, partener de securitate cibernetică la Potomac Law.
„Diferența dintre confidențialitatea datelor și securitatea datelor este diferența dintre protejarea informațiilor personale ale cuiva și măsurile de securitate pe care le aveți în vigoare pentru a proteja toate informațiile afacerii dumneavoastră”, a spus el.
Cu regulamente precum California Consumer Privacy Act (CCPA) și Regulamentul general privind protecția datelor (GDPR) al UE în vigoare în prezent, această distincție este mai mult decât o chestiune de semantică. GDPR, de exemplu, impune sancțiuni financiare serioase care pot ajunge la miliarde de dolari în cazul încălcărilor de date care implică informații personale identificabile (PII) ale cetățenilor UE. La o valoare cuprinsă între 2.500 și 7.500 de dolari pentru fiecare înregistrare PII, penalitățile de neconformitate în temeiul CCPA se pot aduna, de asemenea, rapid.
Cum pandemia COVID-19 nu dă semne de diminuare, tot mai mulți oameni petrec mai mult timp online ca niciodată. Schimbarea masivă a utilizării online atât înainte, cât și după COVID-19, combinată cu neîncrederea generală față de modul în care marile companii de social media și de divertisment monetizează datele clienților, nu trece neobservată de autoritățile de reglementare ale statelor. Potrivit Conferinței naționale a legislatorilor de stat, în 30 de state sunt în curs de examinare proiecte de lege privind confidențialitatea.
„Confidențialitatea datelor este, în esență, un subset al securității datelor unei organizații”, a declarat Ewing. „Distincția este importantă deoarece, deși instrumentele folosite pentru a menține confidențialitatea datelor și pentru a asigura securitatea datelor se pot suprapune, cele două sunt, în general, abordate în mod diferit de echipe diferite care folosesc instrumente diferite.”
Această suprapunere poate cauza confuzie, lăsând companiile care se concentrează doar pe securitatea datelor cu impresia falsă că, în mod implicit, și confidențialitatea datelor este protejată. Acest lucru nu este cazul. Spre deosebire de securitatea datelor, care se concentrează pe protejarea tuturor datelor unei organizații împotriva furtului sau corupției (cum ar fi în timpul unui atac ransomware), confidențialitatea datelor este mai granulară. Pentru a asigura confidențialitatea datelor, organizațiile trebuie să înțeleagă, să urmărească și să controleze lucruri precum cine este autorizat să acceseze datele și unde sunt stocate datele – de exemplu, într-un cloud în conformitate cu Health Insurance Portability and Accountability Act (HIPAA).
Un bun exemplu al diferențelor dintre confidențialitatea datelor și securitatea datelor a fost colectarea a 87 de milioane de profiluri de utilizatori Facebook de către firma de consultanță politică Cambridge Analytica, acum dispărută, în timpul alegerilor prezidențiale din SUA din 2016-17, a declarat Joshua Kail, un consultant în comunicare care a condus PR-ul agenției Cambridge Analytica până la închiderea acesteia în mai 2018. Chiar dacă datele erau securizate, Facebook a abuzat de propria politică de confidențialitate și de un decret de consimțământ al FTC din 2011 privind utilizarea datelor utilizatorilor.
„A fost un caz ciudat de eșec al securității datelor din perspectivă, în sensul că, practic, au predat datele și apoi au fost folosite într-un mod nepotrivit, mai degrabă decât un atac cibernetic malițios tradițional”, a spus el. „În ceea ce privește confidențialitatea datelor, cu toții am pierdut-o în momentul în care ne-am înregistrat cu un cont. Într-adevăr, nu au fost „datele noastre” cele care au fost folosite de Cambridge, ci datele Facebook despre noi. Această distincție este locul în care trăiește adevăratul pericol în politicile actuale privind datele.”
Kail a apărut recent la podcastul lui Bill Detwiler de la TechRepublic Dynamic Developer, discutând despre confidențialitatea datelor și drepturile privind datele.
O chestiune de încredere
În timp ce confidențialitatea datelor devine din ce în ce mai reglementată în fiecare an, este încă o chestiune care, astăzi, se reduce în mare parte la încredere, a declarat Kayne McGladrey, membru IEEE și strateg în domeniul securității cibernetice la Ascent Solutions. După cum arată reacțiile de pe urma scandalului Cambridge Analytica, ceea ce așteaptă oamenii de la companiile cu care fac afaceri este la fel de important ca și legile care reglementează utilizarea datelor lor.
„Confidențialitatea datelor de astăzi se referă în primul rând la prelucrarea datelor personale pe baza legilor, reglementărilor și normelor sociale”, a declarat McGladrey. „Adesea, acest lucru este reprezentat de un consumator care ignoră o politică de confidențialitate incomprehensibilă (care ar dura aproape 20 de minute pentru a o citi) înainte de a face clic pe un buton pentru a confirma consimțământul său cu privire la acea politică. Acceptarea de către acesta a politicii permite organizației să le manipuleze datele în moduri documentate, cum ar fi utilizarea acestora pentru a le arăta publicitate direcționată pe baza intereselor lor deduse. Cu toate acestea, dacă acea organizație a vândut acele date personale unei alte organizații pentru a face ceva neașteptat (cum ar fi utilizarea lor pentru a suprima libertatea de exprimare protejată) fără consimțământul consumatorului, aceasta ar fi o încălcare a vieții private, fie prin controlul de reglementare, fie prin încălcarea normelor sociale.”
Datorită a tot ceea ce s-a întâmplat în ultimii ani – toba constantă a încălcărilor masive de date și a atacurilor cibernetice în continuă escaladare asupra întreprinderilor și persoanelor fizice – nu este surprinzător faptul că oamenii simt că datele lor nu mai sunt în siguranță în mâinile companiilor cu care fac afaceri sau ale guvernelor care le mandatează să le colecteze.
Din cauza acestei neîncrederi, imperativul ca întreprinderile să iasă în fața acestor probleme nu ar putea fi mai mare, a declarat Lili Ana, manager de guvernanță în domeniul securității informațiilor la loanDepot.
„Pe măsură ce industria de hacking crește rapid și infractorii cibernetici devin tot mai bine finanțați și pe măsură ce transformarea globală a locurilor de muncă digitale la domiciliu continuă să fie noua normalitate, companiile trebuie să ia măsuri pentru a înțelege securitatea informațiilor și modul în care confidențialitatea și securitatea datelor lucrează împreună pentru a proteja întreprinderile și consumatorii”, a spus Ana. „Investiția în protejarea afacerii dvs. printr-o abordare proactivă este mult mai puțin costisitoare decât alternativa, care este un incident sau o încălcare a securității datelor care nu numai că poate distruge o afacere, dar poate ruina reputația, credibilitatea și încrederea consumatorilor.”
Vezi și
- Companiile cu practici deficitare în materie de confidențialitate sunt cu 80% mai predispuse să sufere o încălcare a securității datelor (TechRepublic)
- Companiile se bazează adesea pe procese manuale pentru a se conforma cu noua lege a confidențialității din California (TechRepublic)
- Cum se utilizează distribuția avansată de securitate și confidențialitate Whonix (TechRepublic)
- Zoom: Ne-am respectat toate promisiunile privind securitatea și confidențialitatea, în afară de una (TechRepublic)
- Clienții nu vor să renunțe la datele lor din cauza preocupărilor legate de confidențialitate, constată Okta (TechRepublic)
- Majoritatea americanilor sunt dispuși să renunțe la confidențialitatea datelor personale pentru a combate răspândirea COVID-19 (TechRepublic)