Hasan Cavusoglu: Mit kell tennie a vállalatoknak és a kormányoknak a kiberbiztonsági háború megnyerése érdekében?

VÉLEMÉNY: Kanadában nagyobb változások nélkül az olyan támadások, mint a LifeLabs hackje, gyakoribbá válnak

vállalatoknak

Amikor hírek jelentek meg arról, hogy a LifeLabs egészségügyi tesztelő cég jelentős hack áldozatává vált, és több mint 15 millió ügyfél privát adatait potenciálisan kitették, az emberek jogosan háborodtak fel. Hogyan tudná egy ilyen érzékeny információkért felelős vállalkozás ennyire tévedni?

De a valóságban nem ezt a kérdést kell feltennünk. Természetesen a hackerek áldozatává váló vállalatoknak meg kell vizsgálniuk a biztonsági réseket, azokat azonnal meg kell javítaniuk, és olyan rendszereket kell bevezetniük, amelyek megakadályozzák a jövőbeni támadásokat; Az ilyen események más vállalkozásokat is arra késztetnek, hogy megduplázzák kiberbiztonsági erőfeszítéseiket.

Alapvető rendszerszintű változások nélkül azonban ezek a kibertámadások folytatódni fognak. Tehát a kérdés valóban az: milyen változásokat kell végrehajtania társadalmunknak?

A biztonság és a magánélet bonyolult macska-egér játék. Telepíthetjük a legfejlettebb, a legmodernebb rendszereket, de csak idő kérdése, hogy a hackerek felfedezzék a sérülékenységeket, így célpontunk folyamatosan mozog. Ennek eredményeként a kormányoknak meg kell követelniük, hogy a vállalkozások ne csak védjék az adatokat, hanem tartsák naprakészen ezeket a védelemeket a legfontosabb szabályozásokkal - és Európába tekintve a kezdő hely.

A jelenlegi kanadai jogszabályok nem mennek elég mélyre. Van néhány védelem, amikor a kormányzati szervezetek milyen információkat gyűjthetnek, és más adatvédelmi jogszabályok arról, hogy a nem kormányzati szervezetek milyen adatokat gyűjthetnek és hogyan, valamint a jelentések ütemterve, ha egy vállalkozást feltörtek.

2016-ban azonban az Európai Unió jóval magasabb lécet szabott, amikor létrehozta az Általános Adatvédelmi Rendeletet, vagyis a GDPR-t - egy olyan rendeletet, amely nemcsak az emberek adatait és magánéletét védi az EU-n belül, hanem a személyes adatok külföldön történő továbbításával is foglalkozik. tagországai.

A GDPR lényegében azt mondja, hogy az emberekkel kapcsolatos bármilyen adatot meg kell védeni, ezért a fogyasztóknak konkrét ismeretekkel kell rendelkezniük arról, hogy milyen adatokat gyűjtenek, és kifejezetten bele kell járulniuk az adatgyűjtésbe. Észak-Amerikától eltérően ennek az adatgyűjtésnek egy meghatározott célt kell szolgálnia, és minden célt világosan meg kell magyarázni, és egyértelműen beleegyezésükbe kell adni.

Sőt, minden személyazonosításra alkalmas információt meg kell védeni, bármennyire is ártalmatlannak tűnik. Tehát, míg az észak-amerikai vállalatok súlyos védelmet nyújthatnak a társadalombiztosítási és hitelkártya-számoknak, Európában minden olyan információt, amely valamit mond rólad, egyenlő súllyal kezelik.

A csúcskategóriás titkosítás kulcsfontosságú minden vállalkozás számára, de a GDPR előírja a vállalatok számára is az adatok névtelenítését, az adatok elválasztását az egyéntől. Más szavakkal, ha egy hacker átjutna a titkosításon és egy LifeLabs-szerű cégbe kerülne Európában, előfordulhat, hogy születési dátumokat és laboratóriumi eredményeket talál, de ezek az adatpontok nem lennének kötve egy adott pácienshez.

A GDPR rendkívül szigorú ütemtervet is tartalmaz az ügyfelek tájékoztatására a jogsértés bekövetkezésekor, és előírja, hogy a vállalatok lépést tartsanak a digitális technológiák változásával. Hasonlóképpen, időnként változatlanná kell tennünk törvényeinket és rendeleteinket, hogy a vállalatok ne tudják egyszerűen betartani a jelenlegi biztonsági követelményeket, majd azt mondják: „Kész vagyok”, és elmennek.

Ugyancsak követnünk kell az EU vezetését, és nagyon magas büntetéseket kell előírnunk azoknak a vállalatoknak, amelyek nem tesznek eleget. Néhányan panaszkodhatnak a megfelelő kiberbiztonsággal járó költségekre, és még inkább az esetleges bírságokra, de ezek az árcédulák elsápadnak, ha összehasonlítjuk a jelentős adatsértés által okozott lehetséges károkkal - és ha a bírságok túl alacsonyak, a vállalatok meglátják alig több, mint a száguldozó jegyek.

Természetesen nem csak a kormányok játszanak nagy szerepet az emberek adatainak biztonságában. A cégeknek együtt kell működniük és meg kell osztaniuk ismereteiket és tapasztalataikat a társaik között, és közben új biztonsági referenciaértékeket kell meghatározniuk. Szorosan meg kell vizsgálniuk saját információbiztonsági gyakorlatukat is, a vállalat vezetőitől kezdve a legzöldebb toborzókig.

De mindenekelőtt a vállalatoknak el kell kezdeniük feltenni a kérdést: „Miért gyűjtjük ezeket az adatokat?” - Mire használjuk? És főleg: "Valóban szükségünk van rá?"

A szervezetek annyi információt gyűjtenek, gyakran nem különösebb célt szem előtt tartva, és nem veszik észre, hogy mekkora felelősség lehet - a hackelési kockázat, a rengeteg információ miatt, amelyet kezelni és védeni kényszerülnek, és a lehetséges jó hírnévkárosodás miatt. (Fogadhat, hogy a LifeLabs vezetői azt kívánják, bárcsak kevesebb információt tárolnának és másképp kezelnének). Ha kevesebb adatot gyűjt, akkor kevesebbet kell aggódnia.

Meg kell változtatnunk a megközelítésünket, amikor a kifejezett beleegyezésről van szó. Jelenlegi állapotunkban, amikor letöltünk egy alkalmazást, rákattintunk az „Egyetértek” gombra, de ritkán értjük meg, hogy pontosan miben is vállaljuk. Ehelyett arról kell értesítést kapnunk, amikor adatainkat felhasználják vagy értékesítik; így például értesítést kaphat, amelyben hozzájárulást kér, amikor egy alkalmazás nyomon követi az Ön tartózkodási helyét, vagy eladja adatait harmadik félnek.

Ebben az esetben a marketingszakemberek más módon is felhasználhatják az ügyfelek adatait saját előnyükre - hirdetve, hogy nem gyűjtenek vagy tárolnak felesleges információkat.

Ha nem vezetünk be szigorú szabályozásokat és nem változtatjuk meg a vállalatok magatartását, akkor ezek a kiber támadások folytatódni hivatottak. Egyik héten a LifeLabs lesz, a következően valaki más.

Néha nehezen tudjuk elképzelni, mi is hibázhat pontosan, ha megsértik. De a személyazonosság-lopás komoly üzlet, és évente milliárdos veszteséget okoz világszerte - és az biztos, hogy bűnözőkkel van dolgunk, és kreatívak.

Ha még nem találták meg az adatok bevételszerzésének módját, csak idő kérdése, mielőtt ezt megtennék, különösen, ha megengedjük nekik, hogy kicselezzenek minket abban a macska és egér játékban.