Med det nylige Equifax bruddet som sette 145.5 millioner mennesker i fare, er det mye diskusjon om cyber forskrifter. Equifax fikk mye kritikk over hvordan det håndteres hendelsen og for hvor lang tid det tok å informere folk at dataene er tilgang av hackere.

Europe's new cyber regulation and should America follow Det første banalisere fant sted tilbake i mai 2017 men selskapet var ikke klar over det før juli, og de bare informert folk mer enn en måned senere. Dette har brakt mye diskusjon om å holde det hemmelig fra publikum var den riktige tingen å gjøre, spesielt fordi det omfatter millioner av mennesker og svært følsom informasjon. Men det er mange ting å vurdere når det gjelder tidsrammen som en hendelse skal rapporteres. Og mens regler varierer fra stat til stat i America, Europa har innført nye regler som vil tvinge selskaper å avsløre brudd innen 72 timer etter at det ble oppdaget. Og det reiser spørsmål om America bør gjøre det samme.

Europas nye regelverket

Den nye generelle Data beskyttelse forskriften, GDPR kort sagt, som trer i kraft i mai 2018, vil introdusere nye lover på hvordan personlige data og data brudd skal håndteres. Formålet er å gi kontroll over sine personlige data tilbake til borgerne. Den likeledes sikre at folk vil bli informert om brudd etter hendelsen finner sted.

Selskaper vil være forpliktet til å rapportere en hendelse innen 72 timer etter oppdagelsen. Unnlater å etterkomme dette vil resultere i dem måtte betale en fin lik til 4% av globale inntekter eller 20 millioner euro. Og det er ikke bare europeiske selskaper som må fungere i samsvar med forskriften. Selskaper utenfor Europa må også forplikte hvis de håndterer europeer data.

Dette vil tvinge noen American selskaper å revidere hvordan de håndterer kundedata. Og når de kommer opp med infrastrukturer som kan håndtere kundeinformasjon i henhold til den europeiske loven, er det lite sannsynlig at de vil behandle American statsborger data annerledes.

Det nye regelverket er ikke uten spørsmål. Tidsramme på 3 dager har forårsaket noe forvirring på når akkurat tiden begynner tikkende. Og det er også påpekt at data brudd ikke er alltid holdt hemmelig på grunn av egeninteresse.

Hvorfor forsinkelsen i data brudd avsløring skjer

Det er mange grunner på hvorfor brudd data ville bli unndratt publikum i noen tid, og det kan ikke være utelukkende på grunn av et selskaps egeninteresse. Politimyndigheter som samarbeider med selskapet kanskje ikke ønsker å ødelegge etterforskningen ved å avsløre for mye for tidlig. Eller hele omfanget av hendelsen kan ikke være kjent, og selskapene vil vente til de har alle fakta før de forårsaker panikk. Men på den annen side, hvis personopplysningene var i et brudd, har en rett å vite.

«Min generelle erfaring er det tar flere dager eller uker å virkelig få armene rundt hva som har skjedd og å balansere dette mot hva motstanderen skal gjøre med dataene,» fortalte Michael Daniel, president i Cyber trussel Alliansen, NBC News. «Avkastningen verdien av dataene avtar raskt, men derimot du også svært ofte lære mye mer når du virkelig grave i forensics.»

Det er ikke å si at egeninteresse ikke spille en rolle i dette. Høytstående Equifax ledere, for eksempel solgt 2 millioner dollar verdt av aksjer før brudd hendelsen ble offentlig rapportert. Og en storstilt hendelse ville ødelegge bedriftens omdømme i lang tid, hvis ikke permanent så ikke rapportere det hele vil være nyttig for dem.

Med måten kommer det, data brudd blir mer og mer vanlig, og noe må gjøres. Og sannsynligvis omfatter klare regler når det gjelder brudd. Tross alt, er det vår dataene i midten av det hele.

Legg igjen en kommentar