СТАНОВИЩЕ: Без големи промени в Канада атаки като хакването на LifeLabs ще станат по-чести

чавушоглу

Когато се появиха новини, че компанията за здравни тестове LifeLabs е станала жертва на голям хак, а частните данни на над 15 милиона клиенти са били потенциално изложени, хората с право са възмутени. Как би могъл бизнес, който е отговорен за такава чувствителна информация, да я разбере толкова грешно?

Но в действителност това не е въпросът, който трябва да зададем. Разбира се, компаниите, които стават жертва на хакери, трябва да проучат пукнатините в тяхната сигурност, да ги поправят незабавно и да внедрят системи, които предотвратяват бъдещи атаки; подобни инциденти също трябва да стимулират други предприятия да удвоят усилията си за киберсигурност.

Без фундаментални системни промени обаче тези кибератаки са длъжни да продължат. Така че въпросът всъщност е: какви промени трябва да направи нашето общество?

Сигурността и поверителността са сложна игра на котка и мишка. Можем да инсталираме най-модерните, модерни системи, но е въпрос на време хакерите да открият уязвимости, така че целта ни постоянно се движи. В резултат на това правителствата трябва да изискват от предприятията не само да защитават данните, но и да ги актуализират с ключови разпоредби - и погледът към Европа е мястото, от което да започнете.

Настоящото законодателство в Канада не стига достатъчно далеч. Има някои защити, що се отнася до това, каква информация могат да събират правителствени организации, както и друго законодателство за поверителност относно това, какви данни могат да събират неправителствените организации и как, както и срокове за докладване, когато бизнес е хакнат.

През 2016 г. обаче Европейският съюз постави далеч по-висока граница, когато въведе Общия регламент за защита на данните, или GDPR - регламент, който не само защитава данните и неприкосновеността на личния живот на хората в рамките на ЕС, но също така разглежда прехвърлянето на лични данни извън страните членки.

GDPR по същество казва, че всякакъв вид данни, свързани с дадено лице, трябва да бъдат защитени, така че потребителите трябва да имат конкретни знания за това какви данни се събират и те трябва изрично да дадат съгласието си за това събиране. И, за разлика от Северна Америка, това събиране на данни трябва да служи за определена цел и всяка цел трябва да бъде ясно обяснена и също така да се даде еднозначно съгласие.

Нещо повече, всяка лична информация трябва да бъде защитена, колкото и безобидна да изглежда. Така че, докато компаниите в Северна Америка могат да поставят сериозни мерки за защита на номера на социални осигуровки и кредитни карти, в Европа всяка информация, която казва нещо за вас, се третира с еднаква тежест.

Шифроването от висок клас е от ключово значение за всички бизнеси, но GDPR изисква също така компаниите да анонимизират информацията, за да отделят тези данни от индивида. С други думи, ако хакер премине през криптирането и влезе в компания, подобна на LifeLabs в Европа, той може да намери дати на раждане и лабораторни резултати, но тези точки от данни няма да бъдат обвързани с конкретен пациент.

GDPR също така включва изключително строги срокове за информиране на клиентите, когато възникне нарушение, и изисква компаниите да са в крак с промените в цифровите технологии. По същия начин трябва да направим нашите закони и разпоредби инвариантни във времето, така че компаниите да не могат просто да се съобразят с настоящите изисквания за сигурност, след което да кажат: „Приключих“ и да си тръгнат.

Ние също трябва да следваме ръководството на ЕС и да направим много високи санкции за компании, които не се съобразяват. Някои може да се оплакват от разходите, които могат да дойдат с подходяща киберсигурност, и дори повече за възможните глоби, но тези ценови етикети бледнеят в сравнение с потенциалните щети, причинени от голямо нарушение на данните - и ако глобите са твърде ниски, компаниите ще видят тях като малко повече от бързи билети.

Разбира се, правителствата не са единствените, които играят основна роля в осигуряването на данните на хората. Фирмите трябва да си сътрудничат и да споделят своите знания и опит между себеподобни и в процеса да определят нови критерии за сигурност. Те също трябва да проучат внимателно собствените си практики за информационна сигурност, от лидерите на компанията до най-зелените новобранци.

Но повече от всичко компаниите трябва да започнат да се питат: „Защо събираме тези данни?“ „За какво го използваме?“ И най-вече „Имаме ли нужда всъщност?“

Организациите събират толкова много информация, често без конкретна цел и не осъзнават каква отговорност може да бъде - поради хакерския риск, поради огромния обем информация, която са принудени да управляват и защитават, и поради потенциалните репутационни щети. (Можете да се обзаложите, че лидерите в LifeLabs сега желаят да съхраняват по-малко информация и да я управляват по различен начин). Ако събирате по-малко данни, ще имате по-малко притеснения.

Също така трябва да изменим подхода си, когато става въпрос за изрично съгласие. В настоящия си вид, когато изтегляме приложение, кликваме „съгласи се“, но рядко разбираме за какво точно се съгласяваме. Вместо това трябва да бъдем уведомени в момента, в който данните ни ще бъдат използвани или продадени; така например, може да получите известие с молба за съгласие, когато дадено приложение е на път да проследи местоположението ви, или да продадете данните си на трета страна.

В този случай маркетолозите също могат да използват данните на клиентите в своя полза по различен начин - като рекламират, че не събират или съхраняват ненужна информация.

Ако не въведем строги разпоредби и не променим поведението на корпорациите, тези кибератаки са предназначени да продължат. Една седмица ще бъде LifeLabs, следващата ще бъде някой друг.

Понякога трудно си представяме какво точно може да се обърка, когато има нарушение. Но кражбата на самоличност е сериозен бизнес и отчита милиарди загуби по света всяка година - и това, което е сигурно е, че имаме работа с престъпници и те са креативни.

Ако все още не са намерили начин да си осигуряват приходи от данни, въпрос на време е да го направят, особено ако им позволим да ни надхитрят в тази игра на котка и мишка.