Hur påverkar New York SHIELD Act vår integritet för våra privata uppgifter?
Något förståeligt innebär den nuvarande pandemin för coronavirus att inte så många tänker på datasäkerhet just nu. Ändå kommer viruset att besegras (förhoppningsvis) snart, och vi måste återgå till våra normala liv. Därför trädde New Yorks SHIELD-lag officiellt i kraft, trots nedstängningen, den 21 mars. Låt oss se hur det kan påverka cybersecurity-världen.
Table of Contents
Vad är SHIELD Act?
SHIELD står för Stop Hacks and Improve ELectronic Data security, och det undertecknades tillbaka i juli 2019. Det accepterades av New York State, men det är viktigt att notera att det påverkar alla organisationer som behandlar New Yorkers personliga information. Som en utvidgning av den nuvarande lagen om anmälan om dataöverträdelse har några av dess bestämmelser varit i kraft de senaste månaderna, men det var inte förrän i slutet av mars att de sista bestämdes.
Målet är att se till att företag gör mer för att skydda konsumentens personuppgifter, och det måste sägas att det inte är den första handlingen av denna typ. Europeiska unionens GDPR (eller Allmän uppgiftsskyddsförordning) genomfördes i maj 2018, och en månad senare undertecknade Kalifornien sin egen Kalifornien Consumer Privacy Act (CCPA). Juridiska experter säger att ändringarna som SHIELD introducerar liknar vad EU och The Golden State har.
Hur kommer SHIELD agera förändra hur företag hanterar våra uppgifter?
Enligt lag och integritetsblogg AdLawAccess.com kan du dela SHIELDs bestämmelser i tre kategorier.
Företagen bör först tänka på att genomföra administrativa initiativ som inkluderar att utse en eller flera anställda som kommer att ansvara för företagets säkerhetsprogram, organisera utbildningssessioner så att personalen är bättre beredd att säkert bearbeta data, följa de nuvarande trenderna inom cybersäkerhet och bedöma de risker de utgör.
Ur teknisk synvinkel måste företag bedöma och försöka mildra riskerna i samband med deras nätverksinfrastruktur och programvaruprodukter som de använder. De uppmanas också att tänka på utformningen av deras databehandlingsmekanismer såväl som planen för händelsens svar om det värsta skulle hända.
Sist men inte minst måste organisationer genomföra vissa fysiska skyddsåtgärder, som inkluderar mekanismer som upptäcker och förhindrar obehörig åtkomst och säkerställer säker förvaring av privata uppgifter.
Den nya lagen gör också några förändringar av kraven för företag som har drabbats av cybersäkerhetshändelser, och den utvidgar några definitioner som cementeras av gällande lagar. Lagen föreskriver att omfattningen av de förändringar som organisationer behöver göra beror på storleken på deras verksamhet.
Fungerar SHIELD faktiskt?
Företag kommer troligtvis att notisera den nya lagen. New York är ett viktigt ekonomiskt område, och det kommer att finnas få organisationer som vill sluta göra affärer i det. Vissa kommer oundvikligen att finna det omöjligt att följa de nya reglerna och kommer förmodligen att besluta att dra sig ur staten, men majoriteten kommer att försöka förbättra sina försvar och genomföra bättre säkerhetsrutiner, inte bara för deras New York-baserade användare, utan för alla. Visst måste detta vara goda nyheter. Kommer det dock att lösa alla våra problem?
Det finns människor som ifrågasätter giltigheten för lagar som GDPR, CCPA och SHIELD, och de har inte helt rätt. De nya handlingarna har gett användarna enklare tillgång till information om hur deras data hanteras, och de har också tvingat företag att förstärka sina skyddsmekanismer. De som misslyckats har haft några ganska rejäl böter.
Inget av detta har tyvärr stoppat den oändliga strömmen av dataintrång och läckor. Faktum är att företag fortsätter att göra dumma misstag och resultaten är ibland ganska förödande. Så nej, SHIELD är inte ett universalmedel. Det kommer förhoppningsvis att få företag att bygga mer robusta säkerhetsstrategier, men det kommer inte att göra dem immun mot cybersäkerhetsincidenter. Företag bör också inse detta och de bör se vilka ytterligare åtgärder de kan vidta för att skydda sina användare. Ju tidigare de gör det, desto bättre.
