Avec la violation récente de données Equifax qui mettent de 145,5 millions de personnes à risque, il y a beaucoup de discussions concernant la réglementation de cyber. Equifax a obtenu beaucoup de critiques sur la façon dont il géré l’incident et pour combien de temps il leur a fallu pour informer la population que leurs données soient les accès par des pirates.
Nouveaux règlements de l’Europe
Nouvelles données Protection Règlement général, PIBR en abrégé, qui entrera en vigueur en mai 2018, va introduire de nouvelles lois sur les données personnels et les données violations doivent être manipulées. Il a pour but de redonner le contrôle sur leurs données personnelles des citoyens. Il assure aussi que les gens seront informés d’une violation peu après que l’incident a lieu.
Entreprises vont être obligés de signaler un incident dans les 72 heures suivant la découverte. Omettant de se conformer à cela se traduira par leur devoir payer une amende égale à 4 % de leur revenu global ou 20 millions d’Euros. Et ce n’est pas juste européens entreprises qui devront agir conformément au présent règlement. Entreprises en dehors de l’Europe devront également obliger si ils gèrent les données de citoyen européen.
Cela va forcer certaines entreprises American de revoir comment ils gèrent les données de la clientèle. Et une fois qu’ils viennent avec des infrastructures qui peuvent gérer les informations clients conformément à la loi européenne, il est peu probable qu’ils traiteront American citoyen données différemment.
La nouvelle réglementation n’est pas sans questions. Le délai de 3 jours a provoqué une certaine confusion sur quand exactement le temps commencera à retardement. Et il est également souligné que violations de données ne sont pas toujours gardées un secret en raison de l’intérêt personnel.
Pourquoi le retard dans la divulgation de données violation se produit
Il y a quelques raisons sur le pourquoi une violation de données serait protégée du public pendant un certain temps, et il ne peut pas être uniquement en raison de l’intérêt personnel de l’entreprise. L’Agence qui travaille en coopération avec la société souhaiterez pas ruiner l’enquête en révélant trop trop tôt. Ou l’ampleur de l’incident ne peut pas être connue, et compagnies veulent attendre avant d’avoir tous les faits avant qu’ils provoquent la panique. Mais en revanche, si vos renseignements personnels était une violation de données, vous avez le droit de savoir.
« Mon expérience générale est qu’il faut plusieurs jours ou semaines pour vraiment obtenir vos bras autour de ce qui s’est passé et d’équilibrer ce contre ce que l’adversaire va faire avec les données », a déclaré Michael Daniel, Président de l’Alliance menace de Cyber, NBC News. « Le retour sur la valeur des données diminue rapidement, mais en revanche on apprend aussi très fréquemment beaucoup plus quand vous vraiment creuser dans la criminalistique. »
Cela ne veut ne pas dire que les intérêts personnels ne joue pas un rôle dans ce. Hauts dirigeants d’Equifax, par exemple, vendu 2 millions de dollars des stocks avant l’incident de violation a été publiquement signalé. Et un incident à grande échelle serait ruiner la réputation d’une entreprise pendant une longue période, voire en permanence, donc pas de déclaration du tout serait-il avantageux pour eux.
Avec la façon dont il va, violations de données deviendra de plus en plus fréquents, et quelque chose doit être fait. Et cela implique probablement des règlements clairs lorsqu’il s’agit de violations. Après tout, c’est nos données dans le centre de tout cela.