Weet je nog dat 40 miljoen een groot aantal was? Veertig miljoen dollar omzet, 40 miljoen klanten, 40 miljoen Twitter-volgers, 40 miljoen demonstranten — allemaal hebben ze ooit iets wezenlijks overgebracht.

Was het alleen zo voor datalekken.

Als academicus die de afgelopen 20 jaar data governance heeft bestudeerd en heeft gewerkt met honderden raden van bestuur en duizenden directeuren en leidinggevenden, Ik ben geschokt en bezorgd dat de omvang en ernst van datalekken onverminderd blijven groeien.

Toenemende inbreuken

In 2011, hackers vielen RSA Security aan, een netwerkbeveiligingsbedrijf, stal 40 miljoen beveiligingstokens (fysieke apparaten die worden gebruikt om in te loggen op netwerken) records. Twee jaar later, nog eens 40 miljoen records met klantwachtwoorden en persoonlijke informatie werden gestolen van het softwarebedrijf Adobe.

Destijds, consumenten leken geschokt door de omvang van deze inbreuken en verloren — althans tijdelijk — het vertrouwen in deze organisaties. Er werd gepleit voor strengere controles en zwaardere straffen.

Vanaf dat moment, datalekken en diefstal zijn zowel in omvang als in frequentie toegenomen. Hackers hebben Sony binnengedrongen en in 2011 77 miljoen records gestolen. In 2013 deden ze hetzelfde met Target Corporation voor 110 miljoen records. eBay voor 145 miljoen records in 2014, Equifax voor 143 miljoen records in 2017, en Marriott International voor 500 miljoen records in 2018; er waren vele anderen.

Deze werden allemaal overschaduwd door de drie miljard records die waren gecompromitteerd in een kolossale inbreuk op Yahoo Inc. Toen het bedrijf de inbreuk in 2013 voor het eerst bekendmaakte. het zei dat het slechts een miljard records had beïnvloed. Het onthulde het ware aantal in 2017.

Dit is een tijdperk van grote datalekken. De algemene beschikbaarheid en verzamelbaarheid van gegevens, en de vaak passieve bereidheid van consumenten om hun persoonlijke informatie te delen heeft geleid tot een toename van de snelheid, zichtbaarheid en uitgestrektheid van inbreuken nemen allemaal in alarmerende snelheden toe.

Reacties van de overheid

Het congres nam in 2002 de Sarbanes-Oxley Act aan, als reactie op grootschalig flagrant en frauduleus gedrag van bedrijven als Enron, WereldCom, Tyco, Adelphia en hun medeplichtige accountants (met name Arthur Andersen in het geval van Enron).

Onder de vele bepalingen, Sarbanes-Oxley machtigt de aandeelhouders van een bedrijf om externe accountants te kiezen die rechtstreeks rapporteren aan de raad van bestuur van de organisatie in plaats van aan het management. De wet stelt de vervalsing van financiële overzichten strafbaar, en het dwingt de chief executive en financiële functionarissen om driemaandelijks te certificeren dat de financiële overzichten van de organisatie in overeenstemming zijn.

Sarbanes-Oxley luidde een nieuw tijdperk van corporate governance in, waarbij zowel de directie als het management steeds meer onder de loep worden genomen.

Het kantelpunt van cyberbeveiliging

Ik geloof dat cybersecurity zijn Sarbanes-Oxley-moment heeft bereikt. Norton, het internetbeveiligingsbedrijf, heeft een halfjaarlijks rapport van 2019 uitgebracht waarin staat dat er 3, 800 openbaar gemelde inbreuken, tot nu toe 4,1 miljard records blootgelegd - een stijging van 54 procent ten opzichte van 2018.

Deze inbreuken hielden geen rekening met geografie of sector, financiële diensten raken, amusement, gezondheidszorg en overheid. Ze hebben persoonlijke informatie en medische dossiers van individuen opgenomen; alarmerend, deze inbreuken zijn allemaal gepleegd door criminelen die nog moeten worden geïdentificeerd.

Naar mijn mening, de reacties van het bedrijf blijven ontoereikend, en vermijdbare inbreuken. Wetgevers zijn begonnen deze leemte op te vullen.

Het Parlement van de Europese Unie was een van de eersten die de leemte opvulde toen het in 2016 de Algemene Verordening Gegevensbescherming (AVG) vaststelde. die op 25 mei in werking trad, 2018. De AVG is van toepassing op alle personen die in de EU wonen, en voorziet in strenge boetes (20 miljoen euro of vier procent van de wereldwijde jaaromzet van de organisatie van het voorgaande jaar, welke groter is) in het geval van inbreuken op de privacy. De EU is agressief geweest bij de handhaving, tot nu toe meer dan 100 boetes opleggen.

De Amerikaanse Securities and Exchange Commission (SEC) keurde begin 2018 unaniem de uitgifte van openbaarmakingsverplichtingen voor cyberincidenten goed. de federale overheid is begonnen met het wijzigen van de wet op de bescherming van persoonsgegevens en elektronische documenten (PIPEDA), om te bepalen wanneer een inbreuk op de privacy openbaar moet worden gemaakt en wat de openbaarmakingsvereisten zijn.

Het meest recente initiatief is misschien ook wel het strengste. De California Consumer Privacy Act (CCPA), die op 1 januari van kracht wordt 2020, is van toepassing op elke organisatie in Californië die persoonlijke informatie ontvangt of openbaar maakt of 50 procent of meer van haar inkomsten haalt uit de verkoop van persoonlijke informatie.

Gegevenseigendom

De CCPA zal organisaties beboeten en betalingen verstrekken aan degenen die worden getroffen door datalekken. Maar het meest baanbrekende principe van de CCPA is te beweren dat consumenten eigenaar zijn van hun gegevens, al dan niet vrijwillig bekendgemaakt, en kan ervoor kiezen om het niet zonder discriminatie bekend te maken.

Met andere woorden, een consument kan ervoor kiezen om te voorkomen dat Facebook informatie verzamelt over zijn online gedrag zonder dat hij wordt verhinderd om de functies van Facebook te gebruiken. De impact op Facebook en soortgelijke bedrijven kan catastrofaal zijn, aangezien het grootste deel van hun inkomsten afkomstig is uit advertenties.

Dus, wat kan een organisatie doen? Eerst en vooral, de raad van bestuur of toezichtsorgaan moet privacy en cybersecurity op de radar hebben en dit tijdens elke vergadering bespreken. Cybersecurity en privacy moeten worden opgenomen in de risicoplanning van de onderneming en actief worden gecontroleerd.

Bestuurders moeten niet alleen bekend zijn met de naleving van de regelgeving, maar ook van welke gegevens de organisatie beschikt, processen en, belangrijker, gaat door. Bescherming van de gegevensactiva van de organisatie wordt een veel transparanter en geprioriteerd proces. Als resultaat, een dubbele uitkering wordt toegekend, voor het beschermen van klantinformatie die van waarde is voor de organisatie, heeft ook het effect van het beschermen van individuen. Er ontstaat een vicieuze cirkel.

Een recente inbreuk bij Desjardins Group, een Canadese kredietunie-coöperatie, biedt een voorbeeldig reactieplan. De inbreuk was naar wereldwijde maatstaven klein:4,2 miljoen records, maar bijna alle individuele en zakelijke klanten van het bedrijf.

Guy Cormier, de president en CEO van Desjardins, de inbreuk aankondigde kort nadat de bank het had bevestigd, en bood klanten drie herstelmaatregelen:bescherming tegen identiteitsdiefstal tot vijf jaar; individuele ondersteuning van Desjardins om klanten te begeleiden bij alle processen om hun elektronische identiteit te herstellen, inclusief vergoeding voor eventuele financiële verliezen; en tot $50, 000 per klant om eventuele juridische of boekhoudkundige kosten als gevolg van de inbreuk te compenseren.

Deze actieve betrokkenheid van belanghebbenden, naast aandeelhouders en klanten, onderstreept een authentiek engagement.

Sarbanes-Oxley is de norm geworden voor deugdelijk bestuur. de AVG, PIPEDA, De CCPA- en SEC-richtlijnen luiden gezamenlijk een nieuw tijdperk in op het gebied van gegevensprivacy en -bescherming.

Bij gebrek aan initiatief nemen organisaties zullen te maken krijgen met steeds strengere wetgeving en daarmee gepaard gaande controle. De keuze is sterk, maar eenvoudig:begin gegevensprivacy serieus te nemen, of laten opleggen. Cybersecurity heeft zijn Sarbanes-Oxley-moment bereikt.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.