近日,支付卡行業(yè)安全標準委員會(PCISSC)警告說,當新的歐盟立法在2018年生效時,英國企業(yè)可能面臨高達1220億英鎊的數(shù)據(jù)違規(guī)處罰。
根據(jù)英國政府2015年信息安全漏洞調(diào)查,90%的大型組織和74%的中小企業(yè)報告具有安全漏洞,將會導致總共14億英鎊的監(jiān)管罰款。
2018年,歐盟一般數(shù)據(jù)保護法規(guī)(GDPR)將對歐洲一些公司和集團罰款2000萬歐元,或是全球年營業(yè)額的4%,遠遠超過目前的最大數(shù)額50萬英鎊。
這意味著,如果數(shù)據(jù)泄露保持在2015年的水平,那么這些企業(yè)將支付給歐洲監(jiān)管機構(gòu)的罰款增加近90倍,從2015年的14億英鎊增加到12200億英鎊,根據(jù)PCISSC的計算,根據(jù)最高罰款可高達4%的全球營業(yè)額。
對于大型英國機構(gòu),這可能會導致數(shù)據(jù)泄露的監(jiān)管罰款高達700億英鎊,超過130倍的增長,每個組織平均增加到1100萬英鎊。而中小企業(yè)的監(jiān)管罰款可能增加57倍,上升到520億英鎊,平均每個中小企業(yè)的罰款為13,000英鎊。
監(jiān)管罰款只是企業(yè)損失的一部分,PCISSC表示,聲譽受損,業(yè)務(wù)中斷和收入損失也對遭受數(shù)據(jù)泄露的企業(yè)產(chǎn)生重大影響。
PCISSC與組織合作開發(fā)了加強支付和數(shù)據(jù)安全標準,促使企業(yè)現(xiàn)在采取行動,預防,檢測,以及應(yīng)對可能導致違反支付數(shù)據(jù)和其他個人數(shù)據(jù)的網(wǎng)絡(luò)攻擊。
新的歐盟立法將會讓歐洲的那引動大型組織和中小企業(yè)改變游戲規(guī)則,因為監(jiān)管機構(gòu)是否能夠?qū)ζ桨埠娇展镜陌踩`規(guī)行為施加懲罰,仍有待觀察,而面對這些罰款,這些企業(yè)是否能夠承擔成本是一個問題。 PCISSC的國際總監(jiān)JeremyKing說。
無論大小公司都需要立即采取行動,開始制定強有力的標準和程序,以應(yīng)對網(wǎng)絡(luò)安全威脅,或者只能面對監(jiān)管罰款和聲譽損害,并支付天文數(shù)字的費用的前景。
關(guān)于PCISSC
PCISSC延長了組織在更新PCIDSS3.2之前的TLS加密標準的最后期限。
PCISSC已經(jīng)發(fā)布了關(guān)于滲透測試的指令性的新的補充指南,旨在扭轉(zhuǎn)當前趨勢,并改善商家合規(guī)性。
PCISSC的新指南包括標記化安全性的一些基本方面,以及商家需要了解的標記化產(chǎn)品。
然而,PCISSC計算沒有考慮GDPR的兩級制裁方法,這也讓企業(yè)認為是不嚴重的違約行為卻面臨高達1000萬歐元罰款或全球年營業(yè)額的2%,這以較高者為準。
HoganLovells律師事務(wù)所的歐洲隱私和網(wǎng)絡(luò)安全負責人EduardoUstaran說: 對于罰款的雙層方法僅僅反映了歐盟決策者認為的頂級問題與中度問題的關(guān)注。但無論如何,從目前的罰款水平的躍升來看是絕對的指數(shù)級提升。人們正在談?wù)摰牧P款已從幾十萬歐元上升到幾億歐元。
Ustaran說,企業(yè)注意的關(guān)鍵領(lǐng)域是處理的基本原則,包括同意條件,數(shù)據(jù)主體的權(quán)利和合法的國際數(shù)據(jù)傳輸?shù)臈l件。他說,大規(guī)模的風險對人們的隱私可能是決定對誰罰款和罰款多少的一個主要因素。
Ustaran說: 任何人猜測英國政府是否會在退歐之后,其隱私立法中使用類似的公式來計算,但英國的信息專員們肯定不會放棄大額罰款。
2016年10月,英國信息專員辦公室(ICO)對于2015年TalkTalk公司遭遇的網(wǎng)絡(luò)攻擊實施了40萬歐元的罰款,在此次攻擊中,該公司泄露了超過15萬客戶的個人詳細信息。
英國信息專員伊麗莎白 德納姆說,電信提供商未能應(yīng)用 最基本的網(wǎng)絡(luò)安全措施 ,使其數(shù)據(jù)庫容易遭受SQL注入攻擊,因為未能應(yīng)用修復軟件,使其犯的錯誤已經(jīng)超過了三年。
德納姆在擔任此職位后的第一次公開演講中警告說,雖然英國信息專員辦公室(ICO)有權(quán)頒發(fā)高達50萬英鎊的罰款,但是這一比例可能會上升到與歐盟一般數(shù)據(jù)保護法規(guī)(GDPR)相符的全球營業(yè)額的4%。
她還警告說,盡管技術(shù)變革的步伐并沒有停止,英國信息專員辦公室(ICO)希望看到組織對其行動承擔責任,認為個別企業(yè)需要了解他們?yōu)樗藙?chuàng)造的風險,并減輕風險。
德納姆表示,GDPR極有可能將在英國離開歐盟之前生效。 歐盟一般數(shù)據(jù)保護法規(guī)(GDPR)已經(jīng)生效,只是成員國沒有義務(wù)將其應(yīng)用到2018年5月25日。 她說。
德納姆表示,所有想在歐盟開展業(yè)務(wù)的英國公司都必須遵守歐盟一般數(shù)據(jù)保護法規(guī)(GDPR)。她說,法律的主要轉(zhuǎn)變是讓消費者控制他們的數(shù)據(jù),這與建立信任有關(guān),也是英國信息專員辦公室(ICO)理念的一部分。
在全球經(jīng)濟中,我們需要法律和標準的一致性, 她說。 歐盟一般數(shù)據(jù)保護法規(guī)(GDPR)是一項強有力的法律,一旦人們走出歐洲,仍然需要被認為是足夠的或基本上相等的法律。當英國離開歐盟之后,這可能是2019年或更晚的時候,一項新的數(shù)據(jù)保護法將會生效。
德納姆表示,英國信息專員辦公室(ICO)正在與政府部長和高級官員討論未來的英國數(shù)據(jù)保護法應(yīng)該是什么樣子。 這個目標是一個逐步的監(jiān)管制度,它將受到審查,不會讓英國公開讓其他國家拋棄,包括法律。 她說。 這將具有與歐洲一樣的一致性和充分性。
編輯:Harris