Кто несет ответственность, если это произойдет?
Организации, а ПОЭТОМУ и все мы!
Билл Мью — авторитетный специалист, участник кампании за цифровую этику и предприниматель. Как авторитетный специалист, Билл фокусируется на достижении правильного баланса между «значимой защитой» (он признан одним из ключевых авторитетов по конфиденциальности данных) и «максимизацией экономической и социальной ценности». В этой сфере он также является одним из ключевых авторитетов во всех аспектах, начиная с кибербезопасности и цифровой трансформации до технологий GovTech и умных городов. Он также еженедельно выступает на телевидении и радио (BBC, RT и т.д.) в качестве эксперта по этим темам — больше эфирного времени, чем у любого другого специалиста по технологиям в Великобритании.
Как предприниматель, Билл является основателем и генеральным директором CrisisTeam.co.uk, где он работает с элитной командой экспертов в области реагирования на инциденты, кибернетическому праву, управлению репутацией и социальному влиянию, чтобы помочь клиентам минимизировать последствия кибератак.
Во многих организациях преобладает мнение, что кибербезопасностью занимается только директор по информационной безопасности, а за конфиденциальность отвечает только отдел нормативно-правового соответствия. В отсутствие более коллективной ответственности как за кибербезопасность, так и за конфиденциальность наши данные не будут в безопасности. А если что-то пойдет не так, отвечать будем мы все — как коллективно, так и индивидуально.
В таких организациях высшее руководство все еще не подходит к вопросам кибербезопасности и конфиденциальности данных ответственно. Слишком часто они полагают, что эти задачи можно делегировать директору по информационной безопасности (CISO) или ответственному за защиту данных (DPO) и забыть о них. Если высшее руководство продолжает смотреть на вещи таким образом, то неудивительно, что такое отношение проникает вниз по организационной структуре к сотрудникам на всех уровнях, которые также не воспринимают эти вопросы серьезно.
Если решение о приобретении незашифрованных USB-накопителей, твердотельных накопителей или устройств Интернета вещей основывается исключительно на цене, без учета того, являются ли они безопасными или имеют ли аппаратное шифрование, то эти незашифрованные устройства создают уязвимость с точки зрения кибербезопасности. Это подвергает всю организацию риску утечки данных.
Если сотрудники не соблюдают основные правила кибербезопасности и небрежно обращаются с паролями или вложениями электронной почты, они ставят под угрозу безопасность всей организации. Киберпреступники активно используют слабые или известные пароли и применяют тактики фишинга, чтобы нарушить безопасность своих жертв. Это одни из наиболее распространенных векторов кибератак.
Общий регламент ЕС по защите персональных данных указывает, что персональные данные допускается собирать только с согласия их владельца и только для указанной цели. Если вы собираете или передаете данные незаконно, вы подвергаете всех риску крупных штрафов и судебных разбирательств.
Организации, а ПОЭТОМУ и все мы!
Если вы видите, что в вашей организации используются незашифрованные USB-накопители, твердотельные накопители или незащищенные устройства Интернета вещей, вы должны сообщить об этом. Если вы замечаете, что ваши коллеги не соблюдают правила кибербезопасности, вам нужно рассказать об этом. Если вы стали свидетелем того, как сотрудник отдела маркетинга ненадлежащим образом использует данные клиентов, вам нужно рассказать об этом.
Если мы хотим изменить отношение и заставить людей серьезно относиться к кибербезопасности и конфиденциальности данных на всех уровнях организации, нам необходимо изменить склад мышления.
Для этого у организаций есть множество стимулов. Есть наглядные свидетельства того, что клиенты будут с удовольствием вести дела с организациями, которые, по их мнению, будут заботиться об их данных, и более неохотно будут вести дела с теми, кто этого не делает. Сохранение доверия клиентов и предотвращение любых инцидентов кибербезопасности, которые могут подорвать такое доверие, должны быть главной задачей для всех нас.
Кроме того, существует множество сдерживающих факторов, заставляющих организации серьезно относиться к защите данных. Во-первых, регламент GDPR предусматривает максимальный штраф в размере 20 миллионов евро или 4% от годового глобального оборота (в зависимости от того, что больше) за КАЖДЫЙ инцидент. Затраты на устранение инцидента могут исчисляться миллионами евро, а если это атака с использованием программы-вымогателя, киберпреступники могут сверх этого потребовать многомиллионный выкуп. Вы также можете столкнуться с судебным разбирательством со стороны людей, чьи данные были скомпрометированы.
Помимо таких санкций против организации в целом появляются санкции и против физических лиц. Недавнее дело в США создало новый прецедент в области кибербезопасности, когда члены совета директоров и директор по информационной безопасности были индивидуально названы ответчиками. Отчет аналитической компании Gartner прогнозирует, что вскоре главные исполнительные директора, вероятно, станут нести личную ответственность за кибератаки.
Как граждане и как клиенты мы хотим, чтобы организации защищали наши данные. И когда мы отвечаем за данные других, стандарты должны быть такими же высокими. Мы должны быть обеспокоены, как коллективно, так и индивидуально, тем, что мы все можем нести ответственность. Но кроме того мы должны стремится обеспечить защиту данных и потому, что это правильно.
#KingstonIsWithYou
Мы предлагаем консультации в отношении того, какие преимущества твердотельные накопители SSD привнесут в вашу конкретную среду хранения данных, а также в отношении того, какой твердотельный накопитель SSD лучше всего подойдет для вашей мобильной рабочей силы, чтобы обеспечить вам безопасную работу в пути.
Мы предлагаем консультации в отношении того, какие преимущества для вашей организации предоставит использование зашифрованных USB-устройств и какой накопитель лучше всего подойдет для потребностей вашего бизнеса.