Sedan Equifax dataintrång i september 2017, som avslöjade 147 miljoner amerikaners personuppgifter, och de många andra uppmärksammade dataintrång som inträffat sedan dess, har datasäkerhet och dataintegritet blivit en angelägen fråga på styrelserummet.
”Det var i samband med Equifax-debaclet som många av de inneboende frågorna verkligen dök upp på företagsnivå”, säger Aaron Shum, practice lead, Security, Privacy, Risk, and Compliance, på Info-Tech Research Group. ”Det var där vi upptäckte vilken nivå av inkompetens som kan finnas i en organisation.”
Enligt 2019 års Edelman Trust Barometer Special Report: In Brands We Trust?”, svarade 81 procent av konsumenterna att varumärkets pålitlighet spelar en stor roll för deras köpbeslut. Med andra ord utgör dataintrång i dag inte bara en risk för resultatet i form av straffavgifter, utan de äventyrar också en organisations varumärke och rykte, vilket direkt påverkar dess förmåga att attrahera nya kunder och behålla befintliga kunder.
”Företagen måste behandla integritetsskyddet som både en fråga om efterlevnad och affärsrisk för att minska de rättsliga sanktionerna och de kommersiella konsekvenserna, t.ex. ryktesspridning och följdförlust av kunder på grund av integritetsintrång”, säger
Steve Durbin, verkställande direktör för Information Security Forum i Storbritannien.
Mer än semantik
För många utanför infosektorsamhället används termerna ”datasäkerhet” och ”dataskydd” ofta synonymt. I verkligheten är de inte samma sak även om de har ett gemensamt mål, säger Greg Ewing, partner inom cybersäkerhet på Potomac Law.
”Skillnaden mellan dataintegritet och datasäkerhet är skillnaden mellan att skydda någons personliga information och de säkerhetsåtgärder som du har vidtagit för att skydda all din företagsinformation”, säger han.
Med bestämmelser som California Consumer Privacy Act (CCPA) och EU:s allmänna dataskyddsförordning (GDPR) som nu träder i kraft är denna skillnad mer än en fråga om semantik. I GDPR införs till exempel allvarliga ekonomiska påföljder som kan uppgå till flera miljarder dollar för dataintrång som rör personligt identifierbar information (PII) om EU-medborgare. Med mellan 2 500 och 7 500 dollar per personuppgift kan påföljderna för bristande efterlevnad enligt CCPA också snabbt stiga.
Med tanke på att COVID-19-pandemin inte visar några tecken på att avta, tillbringar fler människor mer tid än någonsin på nätet. Den massiva förskjutningen i onlineanvändning både före och efter COVID-19, i kombination med den allmänna misstron mot hur stora sociala medier och underhållningsföretag tjänar pengar på kunduppgifter, går inte obemärkt förbi de statliga tillsynsmyndigheterna. Enligt National Conference of State Legislators övervägs nu lagförslag om integritetsskydd i 30 delstater.
”Dataintegritet är i huvudsak en delmängd av en organisations datasäkerhet”, sade Ewing. ”Distinktionen är viktig eftersom, även om de verktyg som används för att upprätthålla dataintegritet och för att garantera datasäkerhet kan överlappa varandra, behandlas de två i allmänhet på olika sätt av olika team som använder olika verktyg.”
Denna överlappning kan skapa förvirring, vilket gör att företag som bara fokuserar på datasäkerhet får det falska intrycket att dataintegriteten som standard också är skyddad. Så är inte fallet. Till skillnad från datasäkerhet, som fokuserar på att skydda alla organisationens data från stöld eller korruption (t.ex. vid en attack med utpressningstrojaner), är dataintegritet mer granulärt. För att säkerställa dataintegritet måste organisationer förstå, spåra och kontrollera saker som vem som är behörig att få tillgång till data och var data lagras – till exempel i ett moln som följer HIPAA-lagen (Health Insurance Portability and Accountability Act).
Ett bra exempel på skillnaderna mellan dataintegritet och datasäkerhet var den nu nedlagda politiska konsultfirman Cambridge Analyticas inhämtning av 87 miljoner Facebook-användarprofiler under det amerikanska presidentvalet 2016-17, säger Joshua Kail, en kommunikationskonsult som skötte PR-arbetet på byråsidan för Cambridge Analytica fram till dess att företaget lades ner i maj 2018. Även om uppgifterna var säkra missbrukade Facebook sin egen integritetspolicy och ett samtyckesbeslut från FTC från 2011 om användningen av användardata.
”Det var ett märkligt exempel på ett misslyckande med datasäkerheten ur ett perspektiv i och med att de i princip överlämnade uppgifterna och sedan användes de på ett olämpligt sätt, snarare än en traditionell illvillig cyberattack”, sade han. ”När det gäller dataintegritet förlorade vi alla den i samma ögonblick som vi registrerade oss med ett konto. Egentligen var det inte ’våra uppgifter’ som användes av Cambridge, det var Facebooks uppgifter om oss. Det är i denna distinktion som den verkliga faran i den nuvarande datapolitiken bor.”
Kail medverkade nyligen i Bill Detwilers podcast TechRepublic Dynamic Developer där han diskuterade dataskydd och datarättigheter.
En fråga om förtroende
Samtidigt som dataskyddet blir mer reglerat varje år är det fortfarande en fråga som i dag till stor del handlar om förtroende, säger Kayne McGladrey, IEEE-medlem och cybersäkerhetsstrateg på Ascent Solutions. Som reaktionerna efter Cambridge Analytica-skandalen visar är det lika viktigt vad människor förväntar sig av de företag de gör affärer med som de lagar som reglerar användningen av deras uppgifter.
”Dagens dataskydd handlar i första hand om behandling av personuppgifter utifrån lagar, förordningar och sociala normer”, säger McGladrey. ”Ofta representeras detta av att en konsument ignorerar en obegriplig integritetspolicy (som skulle ta nästan 20 minuter att läsa) innan han eller hon klickar på en knapp för att bekräfta sitt samtycke till policyn. Deras godkännande av policyn gör det möjligt för organisationen att hantera deras uppgifter på dokumenterade sätt, t.ex. genom att använda dem för att visa dem riktad reklam baserad på deras förmodade intressen. Men om den organisationen sålde dessa personuppgifter till en annan organisation för att göra något oväntat (som att använda dem för att undertrycka skyddad yttrandefrihet) utan konsumentens samtycke, skulle det vara ett brott mot privatlivet, antingen genom regleringskontroll eller genom en kränkning av sociala normer.”
Med tanke på allt som har hänt under de senaste åren – den ständiga trumvirveln av massiva dataintrång och de ständigt eskalerande cyberattackerna mot företag och privatpersoner – är det inte förvånande att människor känner att deras uppgifter inte längre är säkra i händerna på de företag som de gör affärer med, eller de regeringar som ger mandat att samla in dem.
På grund av denna misstro är det absolut nödvändigt för företagen att ta itu med dessa frågor, säger Lili Ana, chef för informationssäkerhetsstyrning på loanDepot.
”I takt med att hackerbranschen växer snabbt och cyberkriminella blir mer välfinansierade, och i takt med att den globala omvandlingen av digitala hemmaarbetsplatser fortsätter att bli det nya normala, måste företagen vidta åtgärder för att förstå informationssäkerheten och hur dataintegritet och datasäkerhet samverkar för att skydda företag och konsumenter”, säger Ana. ”Att investera i att skydda sitt företag på ett proaktivt sätt är mycket mindre kostsamt än alternativet, som är en dataincident eller ett dataintrång som inte bara kan förstöra ett företag utan också kan förstöra rykte, trovärdighet och konsumenternas förtroende.”
Also See
- Företag med dåliga sekretessrutiner är 80 % mer benägna att drabbas av dataintrång (TechRepublic)
- Företag förlitar sig ofta på manuella processer för att följa Kaliforniens nya sekretesslag (TechRepublic)
- Så här använder du Whonix avancerade säkerhets- och sekretessdistribution (TechRepublic)
- Zoom: Vi har uppfyllt alla våra löften om säkerhet och integritet, utom ett (TechRepublic)
- Okta konstaterar att kunderna inte vill lämna ifrån sig sina uppgifter på grund av integritetsbekymmer (TechRepublic)
- De flesta amerikaner är villiga att ge avkall på skyddet av personuppgifter för att bekämpa spridningen av COVID-19 (TechRepublic)