Con il recente violazione di dati Equifax che mettono 145,5 milioni di persone a rischio, c’è un sacco di discussioni sui regolamenti di cyber. Equifax ha ottenuto un sacco di critiche sopra come gestita l’incidente e per quanto tempo ci sono volute per informare le persone che i loro dati sono stati accessi da parte di hacker.
L’hack iniziale ha avuto luogo nel maggio 2017 ma l’azienda non era a conoscenza di esso fino a luglio, e hanno informato solo le persone più di un mese più tardi. Questo ha portato un sacco di discussione su se mantenendolo segreto da parte del pubblico è stata la cosa giusta da fare, soprattutto perché si tratta di decine di milioni di persone e informazioni altamente riservate. Ma ci sono un sacco di cose da considerare quando si tratta del lasso di tempo in cui un incidente deve essere segnalato. E mentre i regolamenti variano da stato a stato in America, Europe ha introdotto nuovi regolamenti che avrebbero costretto la società a rivelare una violazione entro 72 ore dopo che è stato scoperto. E solleva la questione di se America dovrebbe fare lo stesso.
Nuovi regolamenti europei
Il nuovo regolamento generale dei dati protezione, PILR in breve, che entrerà in vigore nel maggio 2018, introdurrà nuove leggi sui dati personali e dati violazioni devono essere manipolati. Esso mira a ridare il controllo sui propri dati personali ai cittadini. Essa inoltre assicurare che persone saranno informati di una violazione poco dopo l’incidente avviene.
Società saranno obbligate a denunciare un incidente entro 72 ore dalla scoperta. Mancato rispetto di questo si tradurrà in loro dover pagare un bene pari al 4% del loro fatturato globale o 20 milioni di euro. E non si tratta di aziende solo europee che dovranno agire conformemente al presente regolamento. Società esterne Europa dovrà anche obbligare se trattano i dati personali dei cittadini europei.
Questo impone alcune aziende American di rivedere il modo in cui gestiscono i dati dei clienti. E una volta che sono venuti fuori con infrastrutture in grado di gestire informazioni sui clienti in conformità al diritto europeo, è improbabile che tratteranno i dati personali dei cittadini di American in modo diverso.
I nuovi regolamenti non sono senza domande. Il lasso di tempo di 3 giorni ha causato una certa confusione su quando esattamente il tempo inizierà il ticchettio. Ed è anche precisato che le violazioni dei dati non sono sempre mantenute un segreto a causa di interesse personale.
Perché accade ritardo nella comunicazione di violazione dei dati
Ci sono parecchi motivi sul perché una violazione dei dati sarebbe essere trattenuta dal pubblico per qualche tempo, e non può essere unicamente in virtù dell’interesse personale di un’azienda. La guardia di finanza che collabora con l’azienda non può decidere di rovinare l’inchiesta rivelando troppo troppo presto. O il fondo scala dell’incidente non può essere conosciuto, e le aziende vogliono attendere fino a quando essi hanno tutti i fatti prima che possano causare panico. Ma d’altra parte, se le informazioni personali è stato in una violazione dei dati, avete il diritto di sapere.
“La mia esperienza generale è richiede più giorni o settimane per ottenere davvero le braccia intorno a ciò che è accaduto e per questo equilibrio contro ciò che l’avversario sta per fare con i dati,” Michael Daniel, Presidente dell’Alleanza minaccia Cyber, detto NBC News. “Il ritorno al valore dei dati diminuisce rapidamente, ma d’altro canto anche molto frequentemente si impara molto di più quando si scava davvero in analisi forense”.
Che è non vuol dire che l’interesse personale non svolgere un ruolo in questo. Alti dirigenti di Equifax, per esempio, venduto 2 milioni di dollari di azioni prima che l’incidente di violazione è stato pubblicamente segnalato. E un incidente su larga scala avrebbe rovinato la reputazione di un’azienda per un lungo periodo, se non definitivamente, così non segnalazione a tutti sarebbe vantaggioso per loro.
Con il modo in cui sta andando, violazioni di dati diventeranno sempre più comuni, e qualcosa deve essere fatto. E che probabilmente coinvolge regole chiare quando si tratta di violazioni. Dopo tutto, è i nostri dati che si trova nel centro di tutto.