W jaki sposób nowojorska ustawa SHIELD wpływa na prywatność naszych prywatnych danych?
Nieco zrozumiałe, że obecna pandemia koronawirusa oznacza, że niewiele osób myśli obecnie o bezpieczeństwie danych. Niemniej jednak wirus zostanie wkrótce pokonany (miejmy nadzieję) i będziemy musieli wrócić do normalnego życia. Dlatego pomimo blokady 21 marca nowojorska ustawa SHIELD oficjalnie weszła w życie. Zobaczmy, jak może to wpłynąć na świat cyberbezpieczeństwa.
Table of Contents
Co to jest SHIELD Act?
SHIELD oznacza Stop Hacks i popraw bezpieczeństwo ELectronic Data i został podpisany w lipcu 2019 r. Został zaakceptowany przez Stan Nowy Jork, ale ważne jest, aby pamiętać, że wpływa na wszystkie organizacje przetwarzające dane osobowe Nowojorczyków. Nazwane jako rozszerzenie istniejącej ustawy o powiadamianiu o naruszeniu danych, niektóre z jej przepisów obowiązywały przez kilka ostatnich miesięcy, ale dopiero pod koniec marca oficjalne zostały te ostatnie.
Celem jest zapewnienie, że firmy zrobią więcej, aby chronić dane osobowe konsumentów, i należy powiedzieć, że nie jest to pierwszy tego typu akt. RODO Unii Europejskiej (lub ogólne rozporządzenie o ochronie danych) zostało wdrożone w maju 2018 r., A miesiąc później Kalifornia podpisała własną ustawę o ochronie prywatności konsumentów (CCPA). Eksperci prawni twierdzą, że zmiany, które wprowadza SHIELD, są podobne do tego, co mają UE i Golden State.
Jak działanie SHIELD zmieni sposób, w jaki firmy przetwarzają nasze dane?
Zgodnie z blogiem prawa i prywatności AdLawAccess.com możesz podzielić postanowienia SHIELD na trzy kategorie.
Firmy powinny najpierw pomyśleć o wdrożeniu inicjatyw administracyjnych, które obejmują wyznaczenie jednego lub większej liczby pracowników, którzy będą odpowiedzialni za program bezpieczeństwa firmy, organizowanie szkoleń, aby pracownicy byli lepiej przygotowani do bezpiecznego przetwarzania danych, nadążania za bieżącymi trendami w zakresie cyberbezpieczeństwa oraz ocena ryzyka, jakie stanowią.
Z technicznego punktu widzenia firmy muszą oceniać i próbować ograniczać ryzyko związane z infrastrukturą sieciową i oprogramowaniem, z którego korzystają. Zaleca się również, aby zastanowili się nad konstrukcją swoich mechanizmów przetwarzania danych, a także planem reagowania na incydenty na wypadek najgorszego zdarzenia.
Wreszcie, organizacje muszą wdrożyć pewne fizyczne zabezpieczenia, które obejmują mechanizmy wykrywające i zapobiegające nieautoryzowanemu dostępowi oraz zapewniające bezpieczne usuwanie prywatnych danych.
Nowa ustawa wprowadza również pewne zmiany w wymaganiach dla firm, które ucierpiały w wyniku incydentów związanych z cyberbezpieczeństwem, i rozszerza kilka definicji utrwalonych przez obowiązujące przepisy. Ustawa nakazuje, że zakres zmian, jakie muszą wprowadzić organizacje, zależy od wielkości ich działalności.
Czy SHIELD faktycznie będzie działać?
Firmy prawdopodobnie zwrócą uwagę na nowe prawo. Nowy Jork jest ważnym obszarem gospodarczym i będzie niewiele organizacji, które chciałyby przestać w tym biznesie. Niektórzy nieuchronnie nie będą w stanie zastosować się do nowych zasad i prawdopodobnie zdecydują się wycofać ze stanu, ale większość spróbuje poprawić swoją obronę i wdrożyć lepsze praktyki bezpieczeństwa nie tylko dla użytkowników z Nowego Jorku, ale dla wszystkich. To z pewnością dobra wiadomość. Czy to rozwiąże wszystkie nasze problemy?
Są ludzie, którzy kwestionują ważność takich przepisów, jak RODO, CCPA i TARCZA, i nie mają do końca racji. Nowe akty prawne zapewniły użytkownikom łatwiejszy dostęp do informacji o tym, jak przetwarzane są ich dane, a także zmusiły firmy do wzmocnienia mechanizmów ochrony. Ci, którzy ponieśli porażkę, zostali ukarani dość wysokimi grzywnami.
Niestety nic z tego nie powstrzymało niekończącego się strumienia naruszeń i wycieków danych. W rzeczywistości firmy nadal popełniają głupie błędy, a ich wyniki są czasami dość druzgocące. Więc nie, SHIELD nie jest panaceum. Mamy nadzieję, że dzięki temu firmy będą budować solidniejsze strategie bezpieczeństwa, ale nie uczynią ich odpornymi na incydenty związane z cyberbezpieczeństwem. Firmy powinny również zdawać sobie z tego sprawę i powinny zobaczyć, jakie dodatkowe środki mogą podjąć, aby zapewnić bezpieczeństwo swoim użytkownikom. Im szybciej to zrobią, tym lepiej.
