Den sidste uge var vigtig for dig og dine personlige oplysninger, uanset om du bor i EU eller ej.
GDPR, den generelle databeskyttelsesforordning, der opstiller retningslinjer for, hvordan personoplysninger om EU-borgere indsamles og behandles, er nu officiel. Det er en god idé - ensartede regler om, hvordan dine oplysninger indsamles, hvordan de gemmes, og hvordan du kan tage dem tilbage, er for længe for sent. Der har været (og vil fortsat være) masser af diskussioner om, hvad der er godt, dårligt og grimt med GDPR, men de fleste mennesker, der arbejder inden for informationssikkerhed, er enige om, at målene er velmenende og vil give den form for beskyttelse, vi alle har brug for i det 21. århundrede.
En masse populære websteder er bare ikke tilgængelige for europæiske besøgende, fordi du ikke er GDPR-kompatibel.
De individuelle artikler af GDPR er imidlertid ikke så universelt rost. Efter at have trådt i kraft fredag den 25. maj, ser vi allerede nedfald: New York Daily News, Chicago Tribune, LA Times og andre højprofilerede websteder er nu ikke tilgængelige i lande, der er omfattet af GDPR-regler, fordi de ikke var klar til de nye regler. Mange andre websteder og onlinetjenester har bombarderet brugere med nye vilkår at acceptere, og der er allerede indgivet klager over bemærkelsesværdige tech-giganter Google og Facebook, fordi de ikke tilbyder gratis tjenester uden at give brugerne mulighed for at fravælge dataindsamling.
Mere: Google gør det lettere at forstå og administrere brugerdata, som de indsamler {.cta.large}
Spørgsmål som disse er ikke overraskende. Det er heller ikke det synspunkt, at skybaserede tjenester mister indtægter og bliver tvunget til at hæve priser som et resultat af GDPR, hvilket halvdelen af de deltagere i Infosecurity Europe 2018 mener snart vil ske. De mener også, at GDPR vil kvæle innovation, da små organisationer ikke kan have råd til, at den nødvendige infrastruktur er kompatibel. Dette er en god diskussion af de mennesker, der har brug for at diskutere det. Bedre privatlivets fred er værd at timer med frem og tilbage, der er nødvendige for at få det rigtigt.
Men der er en del af GDPR, som jeg tror vil gøre mere skade end gavn - artikel 33's 72-timers rapporteringsregel. Du kan læse den fulde tekst her, men kernen i den er, at et selskab, der holder personlig identifikation af EU-borgere, er fuldt ansvarligt for ethvert brud på sikkerheden, uanset årsagen, og skal give fuld information til et tilsynsudvalg inden for 72 timer af et brud. Der er ikke noget stort ved denne regel, men to dele vil føre til, at tjenesteudbydere dækker overtrædelser af data i stedet for på en ansvarlig måde at rapportere dem.
Den første er tilsynsudvalget. Forskellige lande har forskellige måder at styre deres borgere på, men en ting, de alle har til fælles, er præferencebehandling når det kommer til at oprette og bemande ethvert officielt udvalg. En ven af en ven eller den tredje fætter, der ikke kan stoppe med at bede om en uddelingsdel, er premierkandidater til ethvert udvalg, og når det primære mål er at beskytte brugerdata, skal kun de mest kvalificerede personer overvejes. Lad os håbe, at det er nøjagtigt, hvad der er gjort her, og regler kan tilpasses og håndhæves af mennesker, der har vores bedste interesser i hjertet og er kvalificerede.
Små virksomheder uden de nødvendige ressourcer til en fuldstændig overtrædelsesundersøgelse kan vælge at dække dem.
Et større problem er den tvungen 72-timers rapportering. Selv en fuldt bemandet Fortune 500-organisation vil ikke vide nok om en dataovertrædelse til at begynde at indgive rapporter til et regeringsorgan. I så kort tid kan du forvente lidt mere end en virksomheds informationssikkerhedsmedarbejder siger, at der var et brud, og vi er endnu ikke sikre på nogen detaljer. Det er lidt mere end spild af tid for alle involverede, og jeg vil hellere bruge tiden på at prøve at finde ud af hvorfor, hvordan, hvornår og hvem der omgiver enhver form for dataovertrædelse.
Et mindre firma, der allerede muligvis kæmper for at imødekomme GDPR-overholdelse, vil blive fristet til at undersøge, om det kan indeholde overtrædelsen og afbøde skaderne alene uden nogen rapporter. Når du er under pres og underbemandet, kan en cover-up lyde som den rigtige mulighed.
Det er klart, det er aldrig. Men store og små virksomheder har været kendt for at vælge den forkerte mulighed gang på gang, når det kommer til ledningen. Enhver regulering, der er designet til at beskytte brugere mod virksomheder, der træffer dårlige beslutninger, er bedre uden en regel, der kan presse dem til at gøre netop det.
Ansvarlig og hurtig rapportering af en dataintriger er et must. At tvinge virksomheder, der høster og opbevarer vores data til at gøre det rigtige, nytter ikke meget uden det. Oprettelse af det rigtige tilsynsudvalg fyldt med de rigtige mennesker til at revidere, hvordan indbrud behandles - eller endda tilbyde hjælp, når det sker - ville gøre en lang vej til at gøre GDPR til en skabelon for resten af verden at følge.
