Technológia

A GDPR-csoport jogi lépéseinek veszélye kíséri a CISO-kat

A csoportos jogi elszámolások súlyos adatmegsértést követő kísértete a biztonsági vezetők 90% -át üldözi, míg 85% -ukat jobban aggasztják a szabályozási bírságok fenyegetése szerint. Kijárat jelentés harmadik évfordulója alkalmából rendelték meg Általános adatvédelmi rendelet (GDPR).

A OnePoll által készített tanulmány 250 biztonsági vezetőt és adatvédelmi tisztviselőt és 2000 fogyasztót kérdezett meg. Megállapította, hogy a fogyasztók csaknem fele – 47% -a – azt fontolgatja, hogy csatlakozna a csoportos keresethez egy olyan szervezet ellen, amely kiszivárogtatta személyes adatait, és 67% -uk tisztában volt a GDPR szerinti jogi lépések jogával, ami arra utal, hogy ezek az aggályok valamilyen alapja a valóságnak.

“Az adatok megsértésének pénzügyi költségei mindig a GDPR körüli vitát terjesztették, és kezdetben úgy gondolták, hogy a súlyos szabályozási bírságok okozzák a legtöbb kárt” – mondta Tony Pepper, az Egress vezérigazgatója. „De a csoportos keresetek és a független perek széles körűen előre nem látható következményei most dominálják a beszélgetést.

„A szervezetek kihívhatják az ICO-kat [Information Commissioner’s Office’s] bírságolási szándék az árcímke csökkentése érdekében, és az elmúlt évben az ICO engedékenységet mutatott a járvány sújtotta vállalkozások iránt, mint például a British Airways, jelentősen csökkentett bírságokkal engedte őket szabadon, amelyeket sokan pusztán csuklónak tekintenek. Mivel az érintettek nagyon tisztában vannak jogaikkal és pereikkel, amelyek a jövőben esetlegesen „opt-out” -ot válnak az érintettek számára, a biztonsági vezetőknek igazuk van, hogy idegesnek tartják a perek pénzügyi hatásait.

Lisa Forte, partnere a Piros kecske kiberbiztonság, hozzátette: „A legnagyobb pénzügyi kockázat a jogsértés után már nem felel meg a kiszabható szabályozási bírságoknak. A perek már mindennaposak, és megegyezhetnek egy üres csekk megírásával, ha az adatok sérülnek.

„Az európai országok általában nem írták elő a vállalatok magatartásának szabályozását. Ez most változik, és kifejezett kormányzati beavatkozás nélkül a vállalatoknak el kell fogadniuk, hogy mélyebb zsebekre van szükségük, hogy fedezzék a per aranyviharát, amelyet kezdünk látni. “

Forte megjegyezte továbbá a Lloyd vs Google ügy – jelenleg az Egyesült Királyság Legfelsõbb Bíróságánál -, ha ez sikerrel járna, akkor az ilyen csoportos perek “opt-out” -ot, szemben az “opt-in” -et. Szerinte ennek „óriási aggodalomnak” kell lennie a CISO-k és az adatvédelmi tisztviselők számára. Az ügyben később, 2021-ben várható döntés.

Időközben az Egress megállapította, hogy a biztonsági vezetők 91% -a azt mondta, hogy a speciális biztosítási szolgáltatókhoz fordulnak, hogy fedezzék őket a számítógépes események és az adatok megsértése ellen, vagy már korszerűsítette a meglévő politikákat a GDPR megjelenése óta. Csics Edina, a GDPR szakembere azonban adatvédelmi tanácsadó Belgiumban GIS-tanácsadás, azt mondta, hogy ez önmagában nem elég.

“Bár a számítógépes biztosítás fedezheti az adatszegés által okozott pénzügyi károkat, ez nem segít a jó hírnévben okozott károk helyreállításában” – mondta. „Remélem, hogy azok a válaszadók 91% -a, akik a GDPR-re válaszul megváltoztatták kiberbiztosítási kötvényeiket, szintén fontolóra vették a helyes cselekedetet azáltal, hogy komolyabb intézkedéseket hoztak, mint az átkattintó munkavállalói biztonsági képzés, és orvosolták lazán alkalmazott biztonsági technológiáikat a a számítógépes biztosítás megkötése mellett, és nem a számítógépes biztosítás megkötése helyett. ”

Ennek ellenére és a motivációtól függetlenül – mondta Csics – sok köszönetet mondhatunk azért, ha a biztonsági vezetők lépéseket tettek a vállalatok károsodásának elkerülése érdekében, mert cselekedeteik valószínűleg a fogyasztók és az általános adatvédelem javát szolgálják.

Hozzátette: „Miután ezt elmondtam, az ICO múltbeli tevékenységét és végrehajtási szokásait tekintve hajlamos vagyok megérteni, hogy a biztonsági vezetők miért aggódnak jobban azokért, akiket közvetlenül érintenek – azok az érintettek, akiknek a személyes adatai érintettek nem egészen vízhatlan biztonsági intézkedéseikre – és azokra az adatvédelmi aktivistákra, akik még nagyobb erővel próbálják bebizonyítani, hogy a szervezetek még többet tehetnek a személyes adatok őrzéséért. “