GDPR这口锅,刚刚开始沸腾。它会有多热?会烫到谁?对于安全,隐私专业人士和管理人员来说,已经发生的大大小小的GDPR合规案例提供了丰富的安全与隐私课程。
安全基础已经开始冒泡
数据安全基础是监管机构的首要执法行动对象,包括罚款,这些监管行动发出了关于保护整个数据供应链中个人数据的期望的明确信息。访问控制,开放数据源和监控等问题都适合这个问题。例如,英国,德国,法国和葡萄牙数据保护机构(DPA)一直积极要求对安全实践进行具体更改并征收罚款。
- 德国聊天提供商将其平台向公众开放,并且需要添加更强大的帐户管理,加密和访问控制。
- 一家葡萄牙医院的医生账户数量是实际医生的三倍以上,并允许访问所有患者档案。因此,他们需要删除旧的和重复的帐户并实施更严格的访问控制。
- 英国的医疗实践允许受训者阅读同事,朋友和家人的患者记录两年。最终,他们需要添加基于角色的访问权限。
- 一个突出的目标是优步。法国,英国和荷兰因未能实施2016年违规行为的基本安全措施而对Uber处以罚款。强制实践包括用于访问AWS S3服务器的IP过滤系统,要求工程师使用2FA连接到GitHub,而不是以纯文本格式存储这些凭据。
传递出的讯息很明确: 无需再怀疑GDPR执法行动和罚款是否涉及数据安全,答案是肯定的。这些执法行动清楚地给出了对不同规模组织的最低安全实践的预期目标,并且未来涉及欧盟以外的企业的案例中,也将适用。
GDPR合规可不简单
有两个标志性案例表明GDPR即将开锅:英国航空公司和万豪国际。英国航空公司(BA)的用户被引导到一个欺诈网站收集付款和个人信息,Magecart注入脚本的一部分,充当数字信用卡盗卡器,这是一种已知的攻击。BA现在面临的整改包括:实施定期安全审查,代码分析和恶意软件检测技术和审查,并加密敏感数据。最后,他们必须在整个数据收集过程中增加额外的控制,从表单到付款提交,包括第三方,以及更积极地监控和响应外部威胁环境。
万豪酒店的情况是值得注意的,因为涉及到一家美国公司,并强调并购尽职调查,以评估安全实践,安全代码,并确定可能违规。具体而言,尽管万豪在2015年调查了最近收购的喜达屋酒店的小规模违规行为,但安全专家和英国监管机构(ICO)表示,这应该促使万豪进行更深入的调查,这将使他们能够找到潜伏在其预订中长达三年之久的黑客系统。根据ICO的说法,“凭借他们拥有的所有资源,他们早在2015年就应该能隔绝黑客。”
现在,GDPR对企业并购的要求是准确的:展示安全措施和没有违规行为是不够的。企业将需要更多的安全实践证明和技术监控控制,执行广泛的技术尽职调查,包括书面测试和代码审查。目标组织也应准备作出回应。
GDPR也赋予欧盟DPA更多执法权力。2019年7月底发布的欧盟委员会年度报告呼吁通过欧盟内外各国监管机构中共同努力来扩大执法活动。欧盟认为,GDPR在全球范围提升并帮助所有经济体转型——- 随着越来越多的国家建立现代数据保护规则,全球范围内一致且更强大的数据保护标准讲不断扩展。