好几个月, 信息安全和隐私的同事们都告诉我,FUD(恐惧), 对欧盟根据《澳门赌场官方下载》(GDPR)开出的巨额罚款的不确定性和疑虑,已经从董事会和高管会议上消失了.
在很多组织中, the sentiment from senior management was that GDPR was another Y2K; it looked terrifying on paper but – meh – it probably did not matter that much after all.
随着 GDPR实施前12个月的统计数据 随着时间的推移,这些认为监管只是炒作而没有实际行动的管理信念得到了强化.
- 向欧洲监管机构报告了206326起案件(投诉和违规通知)
- 52%的案件以最少的行动结案
- 到目前为止,31个国家中只有11个国家发出了罚款
- 当时的GDPR罚款总额:55,955,871欧元
- 其中5000万欧元是给谷歌的
几乎所有人都松了一口气, 在很多组织中, 直到本周一,隐私和数据安全工作才被列入议程.
周一, ICO(英国监管GDPR的主要监管机构)发布了对英国航空公司罚款183英镑的意向.3.91亿美元(约合2.3亿美元),损失约500人,从2018年6月开始的一次攻击中窃取了5000名客户的详细信息.
随后,该监管机构在周二宣布,打算对万豪国际(Marriott International)处以99英镑的罚款.200万欧元(约合1.24亿美元),因为他们直到2018年才发现数据泄露导致约3000万欧盟客户信息丢失.
到周三, 任何明智的组织都将有效的隐私和安全重新置于其风险雷达的顶端. 安全应该存在的一个关键原因是: 这两起事件实际上都是由于未能充分保护个人数据免受网络攻击.
作为其中一名受影响的人,作为一名必须不断争夺资源的信息安全专业人士,我的观点是,这可能是我们行业的第二个分水岭.
第一个分水岭是在之后 WannaCry 还有NotPetya, 大多数组织开始意识到他们需要更认真地对待网络安全.
这可能是第二个分水岭 if 实施巨额罚款的意图得到了贯彻.
让我进一步解释一下这一点.
大多数明智的商业决策都是在风险的基础上做出的,这是一个令人不快的事实. 如果你有很小的机会因为隐私信息管理不善而被罚款, 然后,大多数组织将致力于以小额资金管理这种风险. 他们希望被视为在做正确的事情——但为什么要花费数千万美元来修复一些可能永远不会花费你超过预算一小部分的东西呢? 这是周一之前对GDPR的看法.
在本周早些时候宣布了对GDPR进行巨额罚款的打算之后, 这种看法已经改变了. 任何考虑将GDPR或网络安全纳入适度预算的组织都在重新评估这一选择.
这是否是启动更好的网络安全和数据隐私投资的转折点,仍取决于几件事——其中第一件事将是,实施重大处罚的意图是否会变为现实.
罚款真的会适用吗? 他们会得到报酬吗?? 接下来会有更多的巨额罚款吗?
这些问题的答案对隐私和安全领域的影响可能与WannaCry和NotPetya一样大.
