在网络数据泄露中,准备是关键
根据国际律师事务所DAC Beachcroft的技术团队,通过有效的网络违规行为的每个阶段,规划和准备至关重要。
在每个阶段重申了准备价值,因为伦敦的团队通过虚构在线约会应用公司的数据违约情景走路。
伦敦科技周讲习班的参与者被要求考虑他们在同样的情况下做些什么,并通过在每个决定点注册其答复,“帮助”在线约会公司的首席执行官。
练习旨在为生活带来典型的问题,首席执行官在被宣称可以访问包含客户个人信息的数据库的黑客联系后,首席执行官将面临。
凭借潜在的投资者,研讨会的参与者被要求考虑首席执行官是否应该认真地承担黑客的索赔和威胁。他们会向警方报告这一事件吗?他们会与黑客接触吗?他们什么时候通知客户?他们会支付黑客要求的赎金吗?
一旦决定通知客户,就会要求研讨会参与者考虑他们会说什么以及他们将使用什么频道。网站上的通知?个人电子邮件?邮寄发出的传统通知信?
这个问题还强调了能够迅速制定违规程度和性质的重要性,不仅能够决定是否有必要通知客户,而且还要决定是否有必要通知英国的数据保护机构 - 信息专员办事处(ICO) - 根据英国的数据保护法,与欧盟的一般数据保护条例(GDPR)一致。
讲习班参与者提醒说,英国组织有必要在有伤害风险的情况下在72小时内向ICO报告个人数据泄露,但与此同时,他们被告知客户(数据主体)或ico的通知不必要的。
“决定是否通知违约的数据受试者,有一个很好的平衡。虽然重要的是通过在必要时通知遵守法律是非常重要的,但确保您不通知无需通知“Patrick Hill,Dac Beachcroft也很重要“ICO建议组织在通知违约之前仔细思考,因为在2018年5月的GDPR达到全力之后,帕特里克山在DAC Beachcroft的技术,媒体和信息风险中帕特里克山帕特里克山表示不必要的通知(TMI)伦敦团队。
“在决定是否通知违约的数据主题,也有一个很好的平衡。虽然重要的是通过在必要时通知遵守法律是很重要的,但是确保您不通知不必要的地方也很重要,从而导致不必要的痛苦,“他警告说。
决定是否通知数据主体的一个有用指南,该山是询问此类通知是否能够使受违约影响的人采取任何行动,例如更改其密码或通知其银行。“如果没有,那么通知他们可能没有必要或有用,但可以是一件困难的话,”他说。
与法律团队成员承担了一名记者的作用,研讨会的参与者经历了他们可以在类似情况下获得的那种压力,媒体成员发现违约或攻击者通知一些受影响的人,升高压力,以便在披露违约方面做出决定。
一旦在方案中明确就是有必要通知ICO和客户,举行练习的团队就会列出了组织向ICO的组织需要回答的问题,强调需要准备和有必要的过程。
“在这里,有一个关于呼叫的法医团队是一个好主意,因为它们可以帮助建立违规的规模和范围,并提供重要信息,这些信息将在短期内遏制违约,以及将过程和控制权山山说,可以减少类似违规的可能性。“
通知ICO可以帮助组织在通知受违约影响的人方面做出正确的决定,但它也将由一支ICO团队的初次调查,这将涉及回答一些关键问题。
然而,如果违规是通报,这将使法律团队警告完全调查,这将释放一整套新的更多详细问题来回答。
ico通常会要求:
事件响应报告;与所涉及的任何第三方供应商的合同关系的详细信息;控制器/处理器关系的详细信息与所涉及的任何第三方供应商的关系;违反答复计划和政策的详细信息,以及公司的数据风险评估;关于所有IT用户的信息,如多重吸引力身份验证,有关访问控制的信息;有关的任何监控系统的详细信息;用于通知和支持受影响的数据主题的待办事项详情。法律团队表示,需要仔细考虑通知数据主体。重点需要提供有用的可操作的信息,以便受到影响的人能够了解它们的影响以及它们可以做些什么来最小化违规的潜在影响。
强调个人数据泄露的潜在财务后果,山上提醒了研讨会参与者,即GDPR允许罚款高达2000万欧元或年度营业额的4%,但也指出,英国法律允许数据受试者对组织判处索赔即使由于违约而没有经济损失,未能保持个人数据会导致遇险。
处理媒体和公共关系是需要规划的另一个关键领域。“我建议组织考虑使用专门的公关公司通过违规行为帮助他们,”山说。
“再次在一项基于提前制定的策略和良好的建议可以宝贵的策略来实现计划。过去的违规表明,肯定有一个正确的处理公关的权利和错误的方式,并且违反组织将受到惩罚或称赞,这取决于他们是否正确与否。“
在结束时,希尔重申了拥有经过试验和测试的违约响应计划的重要性,以便在赌注高的时候第一次通过违规情景思考,并且对做出错误决定产生重大后果在压力之下。