GDPR才刚刚开始沸腾。会有多热?会是谁?对于安全和隐私专业人士和管理人员来说,发生的大大小小的GDPR合规案例提供了丰富的安全和隐私教训。安全基础已经冒泡。数据安全基金会是监管机构采取执法行动(包括罚款)的首要目标。这些监管行动发出了关于在整个数据供应链中保护个人数据的期望的明确信息。访问控制、开放数据源和监控等问题都符合这个问题。例如,英国、德国、法国和葡萄牙的数据保护机构(DPA)一直积极要求对安全措施进行特定更改并处以罚款。这家德国聊天提供商向公众开放其平台,需要添加更强大的帐户管理、加密和访问控制。一家葡萄牙医院拥有的医生账户数量是实际医生数量的三倍多,并允许访问所有患者档案。因此,他们需要删除旧的和重复的帐户并实施更严格的访问控制。英国的医疗实践允许受训者在两年内从同事、朋友和家人那里读取病历。最终,他们需要添加基于角色的访问。一个突出的目标是优步。法国、英国和荷兰因Uber未能针对2016年的违规行为实施基本安全措施而对其处以罚款。强制执行的做法包括用于访问AWSS3服务器的IP过滤系统,要求工程师使用2FA连接到GitHub而不是以纯文本形式存储这些凭据。信息很明确:无需怀??疑GDPR执法行动和罚款是否涉及数据安全,答案是肯定的。这些执法行动明确规定了对不同规模组织的最低安全实践的预期,并将适用于未来涉及欧盟以外企业的案件。GDPR合规并不容易有两个里程碑式的案例表明GDPR即将启动:英国航空公司和万豪国际。英国航空公司(BA)的用户被引导至一个欺诈网站以收集付款和个人信息,Magecart注入了充当数字信用卡窃取器的脚本的一部分,这是一种已知的攻击。BA现在面临的整改包括:实施定期安全审查、代码分析和恶意软件检测技术和审查,以及对敏感数据进行加密。最后,他们必须在整个数据收集过程中添加额外的控制,从表单到付款提交,包括第三方,并更积极地监控和响应外部威胁环境。万豪的情况值得注意,因为它涉及一家美国公司,并强调并购尽职调查以评估安全实践、安全代码并识别可能的违规行为。具体来说,虽然万豪在2015年调查了最近收购的喜达屋酒店的一个小漏洞,但安全专家和英国监管机构(ICO)表示,这应该会促使万豪进行更深入的调查,以便他们能够找到潜伏在其预订单中的被黑系统长达三年。根据ICO的说法,“凭借他们拥有的所有资源,他们应该能够在2015年将黑客拒之门外。”现在,GDPR对并购的要求是准确的:证明安全措施和不存在违规行为是不够的。组织将需要更多的安全实践和技术监控控制证据,执行广泛的技术尽职调查,包括书面测试和代码审查。目标组织也应做好应对准备。GDPR还赋予EUDPA更多执法权。欧盟委员会于2019年7月底发布的年度报告呼吁通过欧盟内外国家监管机构的共同努力扩大执法活动。欧盟认为GDPR正在全球范围内加强并帮助转变所有经济体——随着越来越多的国家建立现代数据保护规则,全球一致且更强大的数据保护标准将继续扩大。
