Med den senaste Equifax dataintrång som riskeras 145,5 miljoner människor, finns det en hel del diskussion om cyber förordningar. Equifax fick mycket kritik över hur det hanteras händelsen och för hur lång tid det tog att informera människor om att deras uppgifter har varit åtkomster av hackare.
Den ursprungliga hacket ägde rum i maj 2017 men företaget var inte medveten om det förrän i juli, och de informerade endast folket mer än en månad senare. Detta har väckt en hel del diskussion om att hålla det hemligt för allmänheten var rätt sak att göra, speciellt eftersom det handlar om tiotals miljoner människor och mycket känslig information. Men det finns en hel del saker att tänka på när det gäller tidsramen där en incident måste rapporteras. Och medan regler varierar från stat till stat i America, Europa har infört nya regler som skulle tvinga företag att avslöja brott inom 72 timmar efter att det upptäcktes. Och det väcker frågan om huruvida America bör göra detsamma.
Europas nya förordningar
Den nya Dataskyddsförordningen, BNPR i kort, som går i kraft i maj 2018, kommer att införa nya lagar om hur personuppgifter och data överträdelser ska hanteras. Det syftar till att ge kontroll över sina personuppgifter tillbaka till medborgarna. Det är också se till att människor kommer att informeras om åsidosättande strax efter händelsen äger rum.
Företag kommer att vara skyldig att rapportera en incident inom 72 timmar efter upptäckten. Underlåtenhet att följa detta resulterar i dem behöva betala en fina equaling till 4% av deras globala intäkter eller 20 miljoner euro. Och det är inte bara Europeiska företag som kommer att agera i enlighet med dessa förordningar. Företag utanför Europa måste också tvinga om de hantera europeiska medborgare data.
Detta kommer att tvinga vissa American företag att se över hur de hanterar kunddata. Och när de kommer upp med infrastrukturer som kan hantera kundinformation i enlighet med den europeiska lag, är det osannolikt att de kommer att behandla American medborgaren data på olika sätt.
De nya reglerna är inte utan frågor. Tidsramen för 3 dagar har orsakat förvirring på när exakt tid kommer att börja ticka. Och det också påpekas att personuppgiftsöverträdelser inte alltid hålls hemligt på grund av egenintresse.
Varför förseningen i avslöjande av data överträdelse händer
Det finns en hel del skäl på varför allmänheten skulle undanhållas ett dataintrång för en tid, och det kanske inte enbart på grund av ett företags egenintresse. Den brottsbekämpande organ som samarbetar med företaget kanske inte vill förstöra utredningen genom att avslöja för mycket för tidigt. Eller i full skala av incidentet kanske inte är känt och företag vill vänta tills de har alla fakta innan de orsakar panik. Men å andra sidan, om din personliga information var i ett dataintrång, du har rätt att få veta.
– Min allmänna erfarenhet är det tar flera dagar eller veckor att verkligen få dina armar runt vad som hänt och för att balansera detta mot vad motståndaren kommer att göra med data, berättade Michael Daniel, ordförande för Cyber hot alliansen, NBC News. ”Avkastningen på värdet av data minskar snabbt, men å andra sidan lär du också mycket ofta mycket mer när du verkligen gräva i kriminalteknik”.
Det är inte att säga att egenintresse inte spelar en roll i detta. Högt uppsatta Equifax chefer, till exempel sålde 2 miljoner dollar i lager innan brott incidenten rapporterades offentligt. Och en storskalig händelse skulle förstöra ett företags rykte under lång tid, om inte permanent, så inte rapportering alls skulle det fördelaktigt för dem.
Med hur kommer det, dataintrång blir vanligare, och något måste göras. Och som förmodligen innebär tydliga regler när det gäller överträdelser. Det är ju våra data i mitten av allt.