Hvordan påvirker New York SHIELD Act privatlivets fred for vores private data?
Noget forståeligt betyder den aktuelle coronavirus-pandemi, at ikke så mange mennesker tænker på datasikkerhed i øjeblikket. Ikke desto mindre vil virussen blive besejret (forhåbentlig) snart, og vi bliver nødt til at vende tilbage til vores normale liv. Derfor, til trods for nedlukningen, den 21. marts trådte New Yorks SHIELD-lov officielt i kraft. Lad os se, hvordan det kan påvirke cybersecurity-verdenen.
Table of Contents
Hvad er SHIELD Act?
SHIELD står for Stop Hacks og Improve ELectronic Data sikkerhed, og det blev underskrevet tilbage i juli 2019. Det blev accepteret af New York State, men det er vigtigt at bemærke, at det påvirker alle organisationer, der behandler de personlige oplysninger fra New Yorkers. Kendt som en udvidelse af den nuværende lov om anmeldelse af dataovertrædelse har nogle af dens bestemmelser været i kraft i de sidste par måneder, men det var først i slutningen af marts, at de sidste blev officielt godkendt.
Målet er at sikre, at virksomheder gør mere for at beskytte forbrugernes personlige data, og det må siges, at det ikke er den første handling af denne type. Den Europæiske Unions GDPR (eller den almindelige databeskyttelsesforordning) blev implementeret i maj 2018, og en måned senere underskrev Californien sin egen Californiens forbrugerbeskyttelseslov (CCPA). Juridiske eksperter siger, at ændringerne, SHIELD indfører, ligner det, EU og The Golden State har.
Hvordan vil SHIELD-handlingen ændre den måde, hvorpå virksomheder håndterer vores data?
I henhold til lov og privatlivsblog AdLawAccess.com kan du opdele SHIELDs bestemmelser i tre kategorier.
Virksomheder skal først overveje at implementere administrative initiativer, der inkluderer udpegning af en eller flere medarbejdere, der vil være ansvarlig for virksomhedens sikkerhedsprogram, arrangere træningssessioner, så personalet er bedre forberedt på at behandle data sikkert, følge med de aktuelle cybersikkerheds tendenser, og vurdering af de risici, de udgør.
Fra et teknisk synspunkt er virksomheder nødt til at vurdere og forsøge at mindske de risici, der er forbundet med deres netværksinfrastruktur og softwareprodukter, deres anvendelse. De tilrådes også at tænke over designet af deres databehandlingsmekanismer såvel som hændelsesplanen, hvis det værste sker.
Sidst, men ikke mindst, er organisationer nødt til at implementere nogle fysiske sikkerhedsforanstaltninger, som inkluderer mekanismer, der registrerer og forhindrer uautoriseret adgang og sikrer sikker bortskaffelse af private data.
Den nye lov foretager også nogle ændringer i kravene til virksomheder, der har lidt cybersikkerhedshændelser, og den udvider nogle få af definitionerne, der er cementeret i den nuværende lovgivning. Loven kræver, at omfanget af de ændringer, organisationer har brug for, afhænger af størrelsen af deres forretning.
Vil SHIELD faktisk virke?
Virksomheder vil sandsynligvis bemærke den nye lov. New York er et vigtigt økonomisk område, og der vil være få organisationer, der gerne vil stoppe med at handle med det. Nogle vil uundgåeligt finde det umuligt at overholde de nye regler og vil sandsynligvis beslutte at trække sig ud af staten, men flertallet vil forsøge at forbedre deres forsvar og implementere bedre sikkerhedspraksis ikke kun for deres New York-baserede brugere, men for alle. Dette må bestemt være gode nyheder. Vil det dog løse alle vores problemer?
Der er mennesker, der sætter spørgsmålstegn ved gyldigheden af love som GDPR, CCPA og SHIELD, og de har ikke helt ret. De nye retsakter har givet brugerne lettere adgang til information om, hvordan deres data håndteres, og de har også tvunget virksomheder til at styrke deres beskyttelsesmekanismer. De, der mislykkedes, har haft nogle ret heftige bøder.
Desværre har intet af dette stoppet den uendelige strøm af dataforbrud og lækager. Faktisk fortsætter virksomhederne med at gøre fjollede fejl, og resultaterne er undertiden temmelig ødelæggende. Så nej, SHIELD er ikke et universalmiddel. Det vil forhåbentlig få virksomheder til at opbygge mere robuste sikkerhedsstrategier, men det vil ikke gøre dem immune over for cybersikkerhedshændelser. Virksomheder bør også indse dette, og de bør se, hvilke yderligere foranstaltninger de kan tage for at holde deres brugere i sikkerhed. Jo før de gør det, jo bedre.
