Giderek daha fazla sayıda düzenleme veri ihlallerinin bildirilmesini zorunlu hale getirirken, Amerika Birleşik Devletleri’ndeki BT uzmanlarının çoğuna bir olay hakkında sessiz kalmaları söylendiğini ve potansiyel olarak yasal gerekliliklere ters düşeceğini söylüyor.
Geçen hafta yayınlanan bir ankette, ankete katılan 400’den fazla BT ve güvenlik uzmanının %42’si ve Amerika Birleşik Devletleri’ndekilerin %71’i, olayın bildirilmesi gerektiğini bildikleri halde veri ihlalini gizli tutmaları talimatını aldıklarını söylüyor. . Siber güvenlik firması Bitdefender tarafından yayınlanan “2023 Siber Güvenlik Değerlendirme Raporu”na göre, ankete katılanların 10’da üçü ihlali kabul etti ve ihlali bildirmedi.
Olası bir veri ihlali konusunda sessiz kalma baskısı, şirketleri yalnızca para cezası ve ceza riskine sokmakla kalmaz, aynı zamanda çalışanları da riske atabilir. Bitdefender’ın teknik çözümler direktörü Martin Zugec, gerçekte, bir ihlali ifşa edip etmeme kararının yürütme ekiplerine ait olması gerektiğini söylüyor.
“Bir BT yöneticisiysem ve güvenlik tam zamanlı işim bile değilse, ifşa etme zorunluluğumuz olup olmadığını söylemek benim için gerçekten zor,” diyor. “Dolayısıyla güvenlik sorumluluğu, şirketin liderliğindeki yöneticilerde başlamalı ve ifşa etme kararına dahil edilmelidir.”
Bir ihlali bildirmeme dürtüsü kesinlikle yeni değil. Örneğin 2018’de benzer bir anket, siber güvenlik uzmanlarının %84’ünün bir ihlalin zamanında bildirilmesini beklediğini, ancak aynı grubun yalnızca %37’sinin bir ihlalin müşterilerine hızlı bir şekilde bildirilmesini önemsediğini ortaya koydu. Belki de en ünlü örnekte, bir jüri Uber’in eski CSO’su Joe Sullivan’ı adaleti engellemekten suçlu buldu ve geçen yıl 2016’daki bir veri ihlalini örtbas ettiği için ilgili bir suçlamada bulundu.
Düzenleyici Kaos Amerika Birleşik Devletleri’nde Sorunlara Yol Açıyor
Artan sayıda düzenleme şirketlerin açıklama yapmasını gerektirse de, bu düzenlemeler ne yazık ki tutarlı değil. Ulusal güvenlik danışmanıyken Condoleezza Rice’ın eski hukuk müşavir yardımcısı olan Bryan Cunningham, bunun özellikle büyük bir şirketin kendisini 50 yargı bölgesine, federal düzenlemeye ve sektöre özgü düzenlemeye uymak zorunda bulacağı Amerika Birleşik Devletleri için geçerli olduğunu söylüyor ve şimdi Theon Technology’de bir danışman. Önyükleme yapmak gerekirse, birçok şirketin Avrupa’da müşterileri var ve bu da onları GDPR gereklilikleri kapsamına alıyor.
“Bazen Avrupa Birliği yasalarına ve ABD yasalarına aynı anda uymanın kelimenin tam anlamıyla imkansız olduğu veri işleme örnekleri vardır” diyor. “Dolayısıyla, bu şirketlerdeki dahili insanlar bir grup farklı yöne bölünmüş durumda.”
Avrupa Birliği’nin veri güvenliğine yönelik bütünleşik yaklaşımı, Amerika Birleşik Devletleri ve onun mahremiyet ve veri korumaya ilişkin karma eyalet, federal ve endüstri düzenlemeleriyle karşılaştırıldığında tutarlı bir gereksinimler yelpazesi oluşturur – bu da belki de daha iyi ifşa istatistiklerine yol açar.
ABD’de yanıt verenlerin dörtte üçü (%75) son 12 ayda bir veri ihlali yaşarken, Birleşik Krallık’ta yanıt verenlerin %51’i, Almanya’da %49 ve İtalya, İspanya ve Fransa’da daha da azı bir veri ihlali yaşadı. çiğneme. Yine de, Amerika Birleşik Devletleri’nde bir ihlali sessiz tutması talimatı verilen yanıt verenlerin %71’iyle karşılaştırıldığında, Birleşik Krallık’ta yanıt verenlerin yalnızca %44’ü aynı şeyi söyledi, İtalya’da %37 ve Almanya, İspanya’da %35’ten azı, ve Fransa, “2023 Siber Güvenlik Değerlendirme Raporu”na göre.
Zugec, “Kimin neyi ne zaman yapması gerektiğini daha net hale getirmemiz gerekiyor, bu nedenle GDPR gibi girişimlerin bizi tüm toplum olarak çok daha güvenli hale getirdiğine inanıyorum” diyor. “Bugün kurduğumuz bireysel sorumluluk modeli [in the US]sınırlarına doğru ilerliyoruz.”
Cezalar Yetki Alanına Bağlıdır, Ayrıntılar
Bir e-posta güvenlik sağlayıcısı olan Egress’in veri koruma sorumlusu Kevin Tunison, bir veri ihlalini bildirmemenin cezasının yargı yetkisine ve davanın özelliklerine göre büyük ölçüde değiştiğini söylüyor. Uber’in güvenlik şefi Sullivan’ın durumunda, şirket ihlal konusunda sessiz kalmaları için bilgisayar korsanlarına bir hata ödül programı aracılığıyla 100.000 dolar ödedi ve CEO eylemi onayladı.
Tunison, “Sağlıklı bir kültürde, bir olayın bildirilebilir olup olmadığını tartışmak için anlaşmazlık olması gerekir – eğer herkes kabul ederse, veri koruma mevzuatına gerek kalmaz” diyor. “Son olarak ve en önemlisi, insan hatası artık bir işletmenin başvurabileceği bir mazeret değil. Önlenebilir olanlardan kaçınmak için makul ve uygun maliyetli adımlar atmak her kuruluşun sorumluluğundadır.”
ABD’de, Başlık 18 adlı ceza kanunu, bir veri ihlali soruşturmasına engel olan bir kişiye, orijinal olayı gerektiği gibi bildirmemek de dahil olmak üzere çeşitli potansiyel suçlamalar yöneltebilir. AB’de, GDPR’yi imzalayan 27 ülkeden 10’unda cezai sorumluluk için potansiyel bir ceza olarak hapis cezaları var.
Tunison, “Şirketin faaliyet gösterdiği yargı bölgelerine bağlı olarak, riskler ömür boyu hapis cezası kadar önemli olabilir” diyor.
İyi haber şu ki şirketler, özellikle Sullivan davasının ardından yön değiştiriyor gibi görünüyor. Theon Technologies’den Cunningham’a göre, küçük ve orta ölçekli işletmeler, genellikle yaptırım eylemlerinin ve davaların hedefi olmadıkları için notu almamış olsalar da, dünyanın dört bir yanındaki en büyük şirketler hükümetlerle çalışmaya başlıyor ve daha homojen düzenlemeler talep ediyor.
“Kesinlikle halka açık şirketler ve düzenli olarak düzenlenen şirketler arasında oldukça önemli bir kültürel değişim olduğunu düşünüyorum, bu şeyleri gömme günlerinin sona erdiğini düşünüyorum” diyor. “Bunu yapmanın bilgeliği bile tamamen yeniden değerlendirildi.”