Væksten i databrud viser behovet for offentlige reguleringer

Kan du huske, da 40 millioner var et stort tal? Fyrre millioner dollars i salg, 40 millioner kunder, 40 millioner Twitter følgere, 40 millioner demonstranter - alle har engang formidlet noget væsentligt.

Var det kun tilfældet for databrud.

Som en akademiker, der har studeret datastyring i de sidste 20 år og arbejdet med hundredvis af bestyrelser og tusindvis af direktører og direktører, Jeg er rystet og bekymret over, at omfanget og alvoren af ​​databrud fortsætter med at vokse med uformindsket styrke.

Stigende brud

I 2011 hackere angreb RSA Security, et netværkssikkerhedsfirma, stjal 40 millioner sikkerhedstokens (fysiske enheder brugt til at logge på netværk) poster. To år senere, yderligere 40 millioner poster med kundeadgangskoder og personlige oplysninger blev stjålet fra softwarefirmaet Adobe.

På det tidspunkt, forbrugerne virkede chokerede over størrelsen af ​​disse brud og mistede - i det mindste midlertidigt - tilliden til disse organisationer. Der blev opfordret til strengere kontrol og hårdere straffe.

Siden da, databrud og tyveri er steget i både størrelse og hyppighed. Hackere brød Sony og stjal 77 millioner poster i 2011. De gjorde det samme over for Target Corporation for 110 millioner poster i 2013, eBay for 145 millioner poster i 2014, Equifax for 143 millioner poster i 2017, og Marriott International for 500 millioner poster i 2018; der var mange andre.

Disse blev alle formørket af de tre milliarder optegnelser, der blev kompromitteret i et kolossalt brud på Yahoo Inc. Da virksomheden oprindeligt afslørede bruddet i 2013, den sagde, at det kun havde påvirket en milliard poster. Det afslørede det sande tal i 2017.

Dette er en æra med store databrud. Den generelle tilgængelighed og indsamlingsmuligheder af data, og forbrugernes ofte passive vilje til at dele deres personlige oplysninger har ført til en stigning i hastigheden, synligheden og omfanget af overtrædelser stiger alt sammen med alarmerende hastigheder.

Regeringens reaktioner

Kongressen vedtog Sarbanes-Oxley Act i 2002, som reaktion på storstilet grov og svigagtig adfærd fra virksomheder som Enron, WorldCom, Tyco, Adelphia og deres medskyldige revisorer (især Arthur Andersen i Enrons tilfælde).

Blandt dens mange bestemmelser, Sarbanes-Oxley giver et selskabs aktionærer mandat til at vælge eksterne revisorer, der rapporterer direkte til organisationens bestyrelse i stedet for ledelsen. Handlingen kriminaliserer forfalskning af regnskaber, og det tvinger den administrerende direktør og økonomichefen til at attestere kvartalsvis, at organisationens regnskaber er i overensstemmelse.

Sarbanes-Oxley indvarslede en ny æra af virksomhedsledelse, med både bestyrelser og ledelse, der kommer under stigende bevågenhed.

Cybersikkerheds vendepunkt

Jeg tror, ​​at cybersikkerhed har nået sit Sarbanes-Oxley-øjeblik. Norton, internetsikkerhedsfirmaet, udgivet en halvårsrapport for 2019, der angiver, at der har været 3, 800 offentligt rapporterede brud, har afsløret 4,1 milliarder rekorder indtil videre - en stigning på 54 procent i forhold til 2018.

Disse brud tog ingen hensyn til geografi eller sektor, rammer finansielle tjenesteydelser, underholdning, sundhedsvæsenet og regeringen. De har inkluderet enkeltpersoners personlige oplysninger og sundhedsjournaler; alarmerende, disse brud blev alle begået af kriminelle, som endnu ikke er identificeret.

Efter min mening, virksomhedens svar er fortsat utilstrækkelige, og brud, der kan undgås. Lovgivere er begyndt at udfylde dette tomrum.

EU-parlamentet var et af de første til at udfylde hullet, da det vedtog sin generelle databeskyttelsesforordning (GDPR) i 2016, som trådte i kraft den 25. 2018. GDPR gælder for alle personer med bopæl i EU, og giver strenge bøder (20 millioner euro eller fire procent af organisationens verdensomspændende årlige omsætning i det foregående år, alt efter hvad der er størst) i tilfælde af brud på privatlivets fred. EU har været aggressiv i sin håndhævelse, har opkrævet mere end 100 bøder indtil videre.

US Securities and Exchange Commission (SEC) godkendte enstemmigt udstedelse af oplysningsforpligtelser for cyberhændelser i begyndelsen af ​​2018. I Canada, den føderale regering er begyndt at ændre sin lov om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA), at definere, hvornår et brud på privatlivets fred skal offentliggøres og oplysningskravene.

Det seneste initiativ er måske også det mest stringente. California Consumer Privacy Act (CCPA), som træder i kraft 1. januar, 2020, gælder for enhver organisation i Californien, der modtager eller videregiver personlige oplysninger eller får 50 procent eller mere af sine indtægter fra salg af personlige oplysninger.

Dataejerskab

CCPA vil bøde organisationer og yde betalinger til dem, der er berørt af databrud. Men CCPA's mest skiftende princip er at hævde, at forbrugerne ejer deres data, hvad enten det er frivilligt afsløret eller ej, og kan vælge ikke at videregive det uden forskelsbehandling.

Med andre ord, en forbruger kan vælge at forhindre Facebook i at indsamle oplysninger om deres onlineadfærd uden at blive forhindret i at bruge Facebooks funktioner. Indvirkningen på Facebook og lignende virksomheder kan være katastrofal, da størstedelen af ​​deres indtægter kommer fra reklamer.

Så, hvad kan en organisation gøre? Først og fremmest, bestyrelsen eller tilsynsorganet skal have privatliv og cybersikkerhed på sin radar og diskutere det på hvert eneste møde. Cybersikkerhed og privatliv bør indgå i virksomhedens risikoplanlægning og overvåges aktivt.

Direktører bør ikke kun være bekendt med spørgsmålene om overholdelse af lovgivningen, men også hvilke data organisationen besidder, processer og, vigtigere, går videre. Beskyttelse af organisationens dataaktiver bliver en meget mere gennemsigtig og prioriteret proces. Som resultat, der tildeles en dobbelt fordel, for at beskytte klientoplysninger, der er af værdi for organisationen, har det også den effekt at beskytte enkeltpersoner. En dyd cyklus følger.

Et nyligt brud hos Desjardins Group, et canadisk kreditforeningskooperativ, giver en eksemplarisk indsatsplan. Bruddet var lille efter globale standarder:4,2 millioner registreringer, men næsten alle virksomhedens privat- og erhvervskunder.

Guy Cormier, præsident og administrerende direktør for Desjardins, annoncerede bruddet kort efter, at banken bekræftede det, og gav kunderne tre afhjælpningsforanstaltninger:beskyttelse mod identitetstyveri i op til fem år; individuel support fra Desjardins til at ledsage kunder gennem alle processer for at genetablere deres elektroniske identiteter, herunder erstatning for eventuelle økonomiske tab; og op til $50, 000 pr. kunde for at modregne eventuelle juridiske eller regnskabsmæssige omkostninger, der er afholdt som følge af bruddet.

Dette aktive engagement af interessenter, ud over aktionærer og kunder, understreger et autentisk engagement.

Sarbanes-Oxley er blevet standarden for sund forvaltningspraksis. GDPR, PIPEDA, CCPA og SEC retningslinjer udbasunerer tilsammen en ny æra inden for databeskyttelse og beskyttelse.

I mangel af at tage initiativ, organisationer vil finde sig selv under stadig strengere lovgivning og samtidig kontrol. Valget er skarpt, men enkelt:Begynd at tage databeskyttelse alvorligt, eller få det pålagt. Cybersikkerhed har nået sit Sarbanes-Oxley-øjeblik.

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.