如果出现这些情况,由谁负责?
组织和我们每个人都应负责!
Bill Mew 是一位重要的舆论领袖、数字道德活动家和企业家。 作为重要的舆论领袖,Bill专注于在“有意义的保护”与“经济和社会价值最大化”两方面实现恰当平衡。在第一个方面,他被评为首屈一指的全球数据隐私影响家;在第二个方面,他也是从网络安全和数字转型到政府科技及智慧城市的各个方面的顶尖影响家之一。他还每周以这些领域专家的身份做客电视台/电台(BBC、RT 等)节目,广播播放时间超过英国任何其他技术专家。
作为一名企业家,Bill 创办了 CrisisTeam.co.uk 并担任公司 CEO,负责与一个由事件响应、网络法律、声誉管理和社会影响领域专家组成的精英团队合作,帮助客户最大限度降低网络攻击的影响。
在许多组织中,人们普遍认为网络安全仅仅是首席信息安全官 (CISO) 的工作,或者隐私仅仅是合规部门的工作。除非作为一个集体在网络安全与隐私方面担负起更多责任,否则我们的数据将无安全可言,一旦出现问题,无论是集体还是个人,我们都负有责任。
在这些组织中,高级管理层仍然未能严肃对待网络安全与数据隐私。他们常常认为这些任务可以下放给首席信息安全官或数据保护官 (DPO),然后抛之脑后。如果高级管理层继续以这种方式看待问题,那么,不出所料,这种态度会传染给整个组织和各级员工,员工们也不会严肃看待这些问题。
如果采购非加密 USB 闪存盘、固态硬盘或物联网 (IOT) 设备的决定纯粹出于价格考虑,而没有考虑这些设备是否安全或支持硬件加密,那么这些非加密设备会造成网络漏洞。这会导致整个组织面临数据泄露风险。
如果员工未能遵守基本的网络安全规则,并随意对待密码或电子邮件附件,那么他们会让整个组织面临安全风险。网络犯罪分子积极攻击低强度密码或已知密码,并利用网络钓鱼策略攻破受害者的安全防线。这都是网络事件一些最常见的攻击手段。
GDPR 规定,只能在征得同意后收集个人数据并用于规定目的。如果您非法收集或共享数据,那么您会导致所有人面临巨额罚款和诉讼风险。
组织和我们每个人都应负责!
如果您看到自己的组织在使用非加密 USB 闪存盘、固态硬盘或不安全的物联网设备,您应大胆指出。如果您注意到同事未能保持网络卫生,您应大胆指出。如果您见到营销部门员工不当使用客户数据,您应大胆指出。
如果我们要在整个组织内改变态度,并让人们严肃对待网络安全与数据隐私,那么我们需要改变文化思维方式。
组织可以采取许多激励举措。有明确证据显示,如果客户认为组织会认真对待他们的数据,客户会很乐意与之开展业务,反之则不然。如何保持客户信任并避免任何可能影响这种信任的网络安全事件,应是我们所有人的要考虑的头等大事。
此外,还有许多因素阻碍组织严肃对待数据保护。首先,GDPR 规定,对每个事件最高罚款 2000 万欧元或全球年营业额的 4%,以较大者为准。解决一次事件的成本可能高达数百万,此外,如果是勒索软件攻击,网络犯罪分子可能勒索数百万欧元的赎金。您还可能面临数据遭泄露用户提起的诉讼。
似乎针对组织的此类制裁还不够,目前还出现一些针对个人的新型制裁。最近美国的一个案例为网络事件案例开创了先例,其中涉及的董事会成员和首席信息安全官单独被列为被告。据分析公司 Gartner 的一份报告预计,首席执行官可能很快需要对网络攻击承担个人责任。
无论是作为公民,还是客户,我们都希望组织保护我们的数据,而当我们负责其他人的数据时,我们也需要坚持同样高的标准。无论是集体还是个人,我们都应担心的是我们可能都负有责任。但我们都应同样积极地专注于数据保护,因为这是要做的正确事情。
#KingstonIsWithYou