Theon Technology Danışmanı Dr. Eric Cole tarafından
2018’den bu yana, Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’ne (GDPR) çok benzeyen, Amerikalılara gelişmiş veri koruması vaat eden yeni bir ulusal gizlilik yasası hakkında ciddi tartışmalar var. Yaklaşık beş yıl sonra, ABD hala yerleşik bir federal veri koruması olmayan dünyadaki tek önde gelen aktördür. ABD’de, hükümetin bütünüyle ulusa hizmet eden bir şey önermesinin aksine, 1 Ocak 2023’te yürürlüğe giren Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi eyalet düzeyinde ve yerel yasalara her zaman güvendik. Kongre’nin nihayet harekete geçmesi ve ABD vatandaşlarını, bilgilerimizi ve değerli verilerimizi koruyacak bir yasayı yürürlüğe koyması doğru yönde atılmış bir adım. Bununla birlikte, önerilen yasa tasarısı potansiyel kusurlar ve sonuçlardan yoksun değildir; Hatta bazıları, önerilen yasa tasarısının halihazırda eyalet düzeyinde uygulanmakta olan korumaların altında kaldığını iddia edebilir. Buna ek olarak, yasa Federal Ticaret Komisyonu’nun (FTC) kapsamına girecek, bu da yasanın yalnızca halihazırda FTC tarafından ele alınan mevcut sorunları kapsayacağı anlamına geliyor. Bu sorunlar arasında kimlik hırsızlığı, çocukların mahremiyeti, tüketici dolandırıcılığı ve yalnızca bazı siber güvenlik sorunları yer alır.
Dahası, yeni yıla girerken, ülke genelinde düzenlemelerde bir artış görmeyi bekliyoruz. California’nın CCPA’yı uyguladığını gördüğümüzde, diğer eyaletler de aynı şeyi yapmaya başlayacak. Ulusal düzeyde, yeni ve daha sıkı düzenlemelerin yürürlüğe girdiğini göreceğiz ve iş dünyasının liderleri hazırlıklı olmalı. Henüz düzenleyici oyun alanında oynamamış veya GDPR ile uğraşmak zorunda kalmamış kuruluşlar zor durumda kalacak ve bu değişiklikleri hızlı bir şekilde uygulamak için baskı altına alınacak. Sonuç olarak, ABD’nin bu yasaları uygulamakta yavaş olması nedeniyle süreçte aceleye getirilecekler.
CCPA daha geniş bir ulus için ne anlama geliyor?
Çeşitli gecikmelerden sonra 1 Ocak 2023’te Kaliforniya Tüketici Gizliliği Yasası (CCPA) yürürlüğe girecek ve duyduğum bazı yaygın sorular şunlar:
- Bu, ülke genelindeki çeşitli kuruluşlar için ne anlama geliyor?
- Nasıl bir etkisi olacak?
- Kuruluşlar sunuma nasıl hazırlanmalı?
Günümüzün birbirine bağlı dünyasında, çoğu kuruluş ve eyalet Kaliforniya ile bir ölçüde ilgilenir, bu nedenle tavsiyem, CCPA’ya çok yakın vadede ulusal düzeyde olacakların habercisi olarak bakmaktır. Bir adım geri atıp Ocak ayındaki lansmanı ve ulusal olarak piyasaya sürülenleri karşılaştırırsanız, bunun çok benzer olduğunu fark edeceksiniz. Ülke genelindeki kuruluşlar ve iş dünyası liderleri, eyaletlerinden bağımsız olarak tüm düzenlemelere uymaları ve uymaları gerektiğini varsaymalıdır. Ayrıca, Avrupa ile iş yapıyor olsanız da olmasanız da GDPR uyumlu olmalısınız çünkü GDPR, ABD’de eyalet ve ulusal düzeyde önerilenle aynı olmasa da benzer olacaktır. Bununla birlikte, dikkate alınması gereken önemli bir engel, ABD bu düzenlemeleri uygulamada çok geride olduğu için aceleye getirilmiş bir çile olacak.
Peki ya şifreleme?
Herkes, tüketici verilerinin şifrelenmesini ve anahtarların ayrı sunucularda saklanmasını sağlamayı gözden kaçırıyor. Çoğu kuruluş geçmişte verilerini şifreledi, ancak sorun şu ki, kapınızı kilitleyip anahtarı yer paspasının altında bırakmaya benzer şekilde, verilerini açıkta bırakıyorlar. Kapımızı kilitliyor muyuz? Evet. Gerçekten etkili ve güvenli mi – en ufak değil. Alıştığımız birçok eski düzenleme tamamen şifreleme, şifreleme, şifreleme ile ilgiliydi, ancak neyin iyi veya kötü şifreleme olarak değerlendirildiği belirsizliğini koruyordu. ABD’de gördüğümüz veri hırsızlığının çoğu, “teknik olarak” şifrelenmiş ancak anahtarların hepsi aynı olduğu için doğru şekilde şifrelenmemiş verilerden kaynaklanıyordu. Bugün düzenleyiciler, ayrı sunucularda olması gereken farklı anahtarların kullanımını ikiye katlıyor ve zorunlu kılıyor. Sıkı denetim uygulanırsa, Kaliforniya’da ve ülke genelinde birçok kuruluşun kendilerini zor durumda bıraktığını göreceğimiz yer burasıdır. Tarihsel olarak ABD, bu tür düzenlemelerin katı bir uygulayıcısı olmamıştır ve sonuç olarak, yönetici ekipler bunları ciddiye almamaktadır. ABD’deki yasalar ile GDPR arasındaki fark, GDPR’nin en başından beri sıkı bir şekilde uygulanması ve hataları için milyonlar ödeterek onu ciddiye almayan şirketlere örnek teşkil etmesidir. Sonuç olarak, yasa çok ciddiye alındı.
Doğru yapmanın ve verimliliği sağlamanın en önemli faktörü, bireylerin ve kuruluşların uyumlu olmasını sağlamaktır. Kuruluşların GDPR ile uyumlu olmasının nedenlerinin Avrupa Standardı ile hiçbir ilgisi yoktur. GDPR, uygulama ve önemli para cezaları nedeniyle etkilidir. PCI ve HIPAA uyumluluğuna bakarsak, ABD yaptırımla mücadele etti ve CCPA ve ADPPA’nın etkili olması için, başarısı için daha iyi uygulama kritik olacaktır. Bir yap ya da boz anı olacak ve yasayı kim uygulayacak gibi sorular olacak? Cezalar ne olacak? ve uygulama maliyetleri nelerdir? Uyum olasılığını artırmak ve etkili veya etkisiz olduğunu kanıtlamak için bu soru ve yanıtların açıkça tanımlanması gerekecektir.
İyi, kötü ve çirkin
Bu yasalar yürürlüğe girdiğinde, ABD hükümeti hem federal hem de ulusal düzeyde bir koruma yasası getirerek muazzam adımlar atmış olacak. Bunun muazzam bir yararı, iki partili olarak tutulması ve dağınık hale gelebilecek çelişkili eyalet yasaları olmadan açık ve öz olmasıdır. Ancak her şeyde olduğu gibi, potansiyel zorluklar ve dezavantajlar var. ADPPA ile birlikte çok büyük bir olumsuzluk, Avrupa yasalarıyla uyumlu olmaması ve yurt dışındaki şirketler ve ABD’nin yurt dışındaki yan kuruluşları ile birçok çelişkiye sahip olması ve ayrıca farklı yasa ve yönetmeliklerin uygulanacağıdır. CCPA ve ADPPA’nın başarılı olması için katı yaptırımlar gerekli olacaktır. Avrupalı muadillerimizde gördüğümüz gibi, şirketlerin gerçek sonuçları veya cezaları yoksa yaptırım uygulanması pek mümkün olmayacaktır. CCPA ve ADPPA’nın uygulanması ne olacak? Kesin olan bir şey varsa o da harekete geçmek ve uygulamak için korkutmanın yeterli olacağıdır.
Genel olarak, karar vericilerin CCPA ve ADPPA’yı başarılı kılmak için yapacakları çok iş var. Uygulama en önemli faktör olacaktır. Uygulama ne kadar katı olursa, uyum olasılığı o kadar yüksek olur ve yönetim kurulu genelinde uygulama istekliliğini belirleyecektir. ABD’de, düzenleyiciler herkesin bildiği gibi sadece bileklerine bir şaplak attılar ve sonuçta yöneticilerin ve güvenlik liderlerinin olası sonuçlardan korkmamalarına neden oldu. Olması gereken, CIO’lar ve Güvenlik görevlilerinin, bu düzenlemelerin önemli para cezalarıyla sonuçlanabileceği konusunda yönetim ekibine etkili bir şekilde iletişim kurması gerektiğidir. 10 milyon cezayı ödeyip örnek alınan şirket olmak isterler mi diye kendilerine sorsunlar.
Son olarak, dünya her anlamda birbirine çok bağlı olduğu için GDPR ile uyumluluk anahtar olacaktır. GDPR denenip test edildiğinden, CCPA ve ADPPA onu yansıtmak için ne kadar yakınsa, herkes için o kadar büyük bir kazanç olacaktır.
yazar hakkında
Dünyaca Tanınmış Siber Güvenlik Uzmanı 30 yılı aşkın ağ güvenliği deneyimiyle Dr. Eric Cole seçkin bir siber güvenlik uzmanı ve kuruluşların siber tehdit riskini azaltmasına yardımcı olan açılış konuşmacısıdır. Dr. Cole, Fortune 500 şirketlerinden, en iyi uluslararası bankalardan CIA’ya kadar çok çeşitli müşterilerle çalıştı. Birçok güvenlik etkinliğinde öne çıkan konuşmacı oldu ve ayrıca CNN, CBS News, FOX News ve 60 Minutes gibi birçok ana medya kuruluşunda röportaj yaptı.