Как Нью-Йоркский закон о защите прав человека влияет на конфиденциальность наших личных данных?
В некоторой степени понятно, что нынешняя пандемия коронавируса означает, что в настоящее время не так много людей думают о безопасности данных. Тем не менее, вирус будет побежден (надеюсь) в ближайшее время, и нам нужно вернуться к нашей нормальной жизни. Вот почему, несмотря на блокировку, 21 марта официально вступил в силу нью-йоркский Закон об охране здоровья. Давайте посмотрим, как это может повлиять на мир кибербезопасности.
Table of Contents
Что такое акт щита?
SHIELD означает «Остановить взломы и повысить безопасность электронных данных», и оно было подписано еще в июле 2019 года. Оно было принято штатом Нью-Йорк, но важно отметить, что оно затрагивает все организации, которые обрабатывают личную информацию жителей Нью-Йорка. Названные как дополнение к существующему закону об уведомлении о нарушении данных, некоторые из его положений вступили в силу в течение последних нескольких месяцев, но только в конце марта последние были официально оформлены.
Цель состоит в том, чтобы компании предпринимали больше усилий для защиты личных данных потребителей, и следует сказать, что это не первый акт такого рода. GDPR Европейского Союза (или Общее положение о защите данных) было введено в действие в мае 2018 года, а месяц спустя Калифорния подписала собственный Калифорнийский закон о защите прав потребителей (CCPA). Эксперты по правовым вопросам говорят, что внесенные SHIELD изменения аналогичны тем, что есть в ЕС и «Золотом государстве».
Как SHIELD будет действовать так, как компании будут обрабатывать наши данные?
Согласно блогу AdLawAccess.com, посвященному праву и конфиденциальности, вы можете разделить положения SHIELD на три категории.
Компании должны сначала подумать о реализации административных инициатив, которые включают назначение одного или нескольких сотрудников, которые будут отвечать за программу безопасности компании, организацию учебных занятий, чтобы сотрудники были лучше подготовлены к безопасной обработке данных, в соответствии с текущими тенденциями в области кибербезопасности, и оценивая риски, которые они представляют.
С технической точки зрения компании должны оценить и попытаться уменьшить риски, связанные с их сетевой инфраструктурой и программными продуктами, которые они используют. Им также рекомендуется подумать о разработке своих механизмов обработки данных, а также о плане реагирования на инциденты на случай, если произойдет худшее.
Наконец, что не менее важно, организациям необходимо внедрить некоторые физические меры защиты, которые включают механизмы, которые обнаруживают и предотвращают несанкционированный доступ и обеспечивают безопасное удаление личных данных.
Новый закон также вносит некоторые изменения в требования к компаниям, пострадавшим от инцидентов в области кибербезопасности, и расширяет некоторые определения, закрепленные действующим законодательством. Закон обязывает, что степень изменений, которые должны принять организации, зависит от размера их бизнеса.
Будет ли ЩИТ на самом деле работать?
Предприятия могут обратить внимание на новый закон. Нью-Йорк является важной экономической зоной, и там будет мало организаций, которые хотели бы прекратить вести бизнес в нем. Некоторые неизбежно сочтут невозможным соблюдать новые правила и, возможно, решат выйти из штата, но большинство попытаются улучшить свою защиту и внедрить более эффективные методы обеспечения безопасности не только для своих пользователей из Нью-Йорка, но и для всех, Конечно, это должны быть хорошие новости. Решит ли это все наши проблемы?
Есть люди, которые ставят под сомнение действительность таких законов, как GDPR, CCPA и SHIELD, и они не совсем правы. Новые акты предоставили пользователям более легкий доступ к информации о том, как обрабатываются их данные, а также вынудили компании усилить свои механизмы защиты. Те, кто потерпел неудачу, столкнулись с довольно большими штрафами.
К сожалению, ничто из этого не остановило бесконечный поток утечек и данных. На самом деле компании продолжают совершать глупые ошибки, и результаты иногда бывают довольно разрушительными. Так что нет, ЩИТ не панацея. Мы надеемся, что это заставит компании строить более надежные стратегии безопасности, но не сделает их защищенными от инцидентов кибербезопасности. Компании также должны понимать это, и они должны видеть, какие дополнительные меры они могут предпринять для обеспечения безопасности своих пользователей. Чем раньше они это сделают, тем лучше.
