Kaip Niujorko SHIELD įstatymas daro įtaką mūsų privačių duomenų privatumui?
Šiek tiek suprantama, kad dabartinė koronaviruso pandemija reiškia, kad ne tiek daug žmonių šiuo metu galvoja apie duomenų saugumą. Nepaisant to, virusas (tikiuosi) greitai bus nugalėtas, ir mums reikės grįžti į įprastą gyvenimą. Štai kodėl, nepaisant lokauto, kovo 21 d. Oficialiai įsigaliojo Niujorko SHIELD įstatymas. Pažiūrėkime, kaip tai gali paveikti kibernetinio saugumo pasaulį.
Table of Contents
Kas yra SHIELD įstatymas?
SHIELD reiškia „Stop Hacks“ ir „ELectronic“ duomenų saugumo gerinimas. Jis buvo pasirašytas dar 2019 m. Liepą. Jį priėmė Niujorko valstija, tačiau svarbu pažymėti, kad tai daro įtaką visoms organizacijoms, tvarkančioms asmeninę Niujorko informaciją. Kai kurios jo nuostatos, pavadintos kaip galiojančio pranešimo apie duomenų pažeidimus įstatymą, pratęsiamos keletą paskutinių mėnesių, tačiau paskutinės buvo oficialiai įregistruotos tik kovo pabaigoje.
Tikslas yra užtikrinti, kad įmonės labiau stengtųsi apsaugoti vartotojų asmeninius duomenis, ir reikia pasakyti, kad tai nėra pirmas tokio pobūdžio veiksmas. Europos Sąjungos GDPR (arba Bendrasis duomenų apsaugos reglamentas) buvo įgyvendintas 2018 m. Gegužės mėn., O po mėnesio Kalifornija pasirašė savo Kalifornijos vartotojų privatumo įstatymą (CCPA). Teisės ekspertai sako, kad SHIELD įvesti pokyčiai yra panašūs į tuos, kuriuos turi ES ir „Auksinė valstybė“.
Kaip SHIELD pakeis tai, kaip įmonės tvarko mūsų duomenis?
Pagal įstatymus ir privatumo tinklaraštį AdLawAccess.com, SHIELD nuostatas galite suskirstyti į tris kategorijas.
Bendrovės pirmiausia turėtų galvoti apie administracinių iniciatyvų įgyvendinimą, įskaitant vieno ar kelių darbuotojų, atsakingų už įmonės saugumo programą, paskyrimą, mokymų organizavimą, kad darbuotojai būtų geriau pasirengę saugiai tvarkyti duomenis, neatsilikdami nuo dabartinių kibernetinio saugumo tendencijų, ir įvertinti jų keliamą riziką.
Techniniu požiūriu įmonės turi įvertinti ir stengtis sušvelninti riziką, susijusią su jų tinklo infrastruktūra ir jų naudojamais programinės įrangos produktais. Jiems taip pat patariama pagalvoti apie savo duomenų tvarkymo mechanizmų dizainą ir reagavimo į incidentus planą, jei atsitiks blogiausias atvejis.
Paskutinis, bet ne mažiau svarbus dalykas yra tai, kad organizacijos turi įgyvendinti kai kurias fizines apsaugos priemones, kurios apima mechanizmus, kurie nustato ir užkerta kelią neteisėtai prieigai ir užtikrina saugų asmeninių duomenų sunaikinimą.
Naujasis įstatymas taip pat keičia kai kuriuos reikalavimus įmonėms, kurios patyrė kibernetinio saugumo incidentus, ir jame išplečiamos kelios apibrėžtys, įtvirtintos galiojančiuose įstatymuose. Aktas įpareigoja, kad pokyčių, kuriuos organizacijos turi atlikti, mastas priklauso nuo jų verslo dydžio.
Ar SHIELD veiks iš tikrųjų?
Greičiausiai įmonės atsižvelgs į naująjį įstatymą. Niujorkas yra svarbi ekonominė erdvė, ir bus nedaug organizacijų, norinčių nutraukti verslą. Kai kuriems neišvengiamai bus neįmanoma laikytis naujų taisyklių ir greičiausiai nuspręs trauktis iš valstybės, tačiau dauguma bandys pagerinti savo gynybą ir įdiegti geresnę saugumo praktiką ne tik savo Niujorke esantiems vartotojams, bet ir visiems. Be abejo, tai turi būti gera žinia. Vis dėlto ar tai išspręs visas mūsų problemas?
Yra žmonių, kurie abejoja tokių įstatymų kaip GDPR, CCPA ir SHIELD galiojimu, ir jie nėra visiškai teisūs. Nauji įstatymai suteikė vartotojams lengvesnę prieigą prie informacijos, kaip tvarkomi jų duomenys, ir jie taip pat privertė įmones sustiprinti savo apsaugos mechanizmus. Tie, kuriems nepavyko, turėjo sumokėti gana dideles baudas.
Deja, nė viena iš jų nesustabdė begalinio duomenų pažeidimų ir nutekėjimo srauto. Tiesą sakant, įmonės ir toliau daro kvailas klaidas, o rezultatai kartais būna gana pražūtingi. Taigi, ne, SHIELD nėra panacėja. Tai, tikėkimės, privers įmones kurti tvirtesnes saugumo strategijas, tačiau tai nepadarys jų apsaugotais nuo kibernetinio saugumo incidentų. Verslas taip pat turėtų tai suvokti ir turėtų pamatyti, kokių papildomų priemonių gali imtis, kad užtikrintų savo vartotojų saugumą. Kuo anksčiau jie tai padarys, tuo geriau.
