Élargir les exigences du GDPR pour mieux protéger les IPI

Le Règlement général sur la protection des données (RGPD) est entré en vigueur dans toute l'Union européenne en mai 2018 dans le but d'accroître la protection de la vie privée et d'étendre les droits aux données pour les individus dans l'UE, mais il n'a jamais été destiné à nous tenir à l'abri de toutes les formes de cybermenaces. Il exige seulement que les organisations qui touchent nos données personnelles utilisent tous leurs efforts pour protéger ces données. En cas d'atteinte à la protection des données, ils doivent signaler aux autorités et informer les victimes dans les délais requis.
Personnellement, j'ai très bien accueilli le règlement GDPR. Les fournisseurs de services et les fabricants de produits devraient être tenus de traiter nos données personnelles avec soin et éthiquement. Lorsqu'il a été introduit pour la première fois, j'étais convaincu que le GDPR offrirait aux individus la protection dont ils ont besoin. Jusqu'au jour où mes propres renseignements personnels ont été divulgués. La violation des données a rapidement conduit à une série d'attaques sur mon compte bancaire personnel. Bien que je tiens à donner crédit à ma banque pour la détection et le blocage de certaines des premières transactions frauduleuses, ils n'ont pas été en mesure de les identifier tous, et ils ne m'ont pas volontairement notifié sur les attaques. En conséquence, il m'a fallu trois semaines pour découvrir que j'avais même été attaqué.
Si vous regardez les différents facteurs en jeu dans une violation de données, les exigences GDPR ne vont pas assez loin pour protéger et informer les utilisateurs. La violation ticketmaster en est un bon exemple. Il illustre les lacunes dans les processus de réponse et de notification des entreprises. Dans ce blog, je vais partager ma liste de souhaits de protections de sécurité qui vont au-delà du GDPR pour mieux répondre aux vulnérabilités critiques basées sur mes expériences personnelles en tant que victime d'une violation de données et la fraude bancaire.
Exigences GDPR, la violation Ticketmaster, et les réponses lentes aux données volées
Dans le contexte des atteintes aux données, l'objectif d'une attaque est de trouver un seul point faible dans un système. Une fois trouvé, l'attaquant peut accéder silencieusement à des informations confidentielles. Par conséquent, il est dans l'intérêt d'un attaquant de maximiser leurs rendements sur la plus longue période de temps possible, de sorte qu'ils vont déguiser leurs escroqueries et les rendre difficiles à découvrir. Il peut s'attendre à des mois, voire des années, pour qu'un fournisseur de services identifie une violation.
Un exemple récent est la violation Ticketmaster. L'attaquant a réussi à voler des informations personnelles de Ticketmaster, y compris les noms des clients, adresses, e-mails, numéros de téléphone, détails de carte de paiement, et les informations d'identification de connexion Ticketmaster. Bien que l'attaque elle-même ait eu lieu en février 2018, Ticketmaster n'a révélé publiquement la violation de données qu'à la fin juin, soit plus de quatre mois après le début de la fuite. Cela nous indique que même sous la protection du GDPR, nous, en tant que consommateurs, sommes toujours les derniers à savoir quand nos données personnelles sont volées. À ce moment-là, le mal était déjà fait.
Les institutions financières sont généralement les premières à
Les transactions frauduleuses se produisent tous les jours et les banques sont constamment ciblées par les cybercriminels. Par conséquent, la banque est probablement la première partie à détecter et à identifier si un client est victime d'une violation de données.
Avant que Ticketmaster ne divulgue publiquement l'incident à la fin du mois de juin, la Banque Monzo du Royaume-Uni a repéré des signes de violation des données dès le 2 avril 2018. La banque a reçu des rapports d'environ 50 clients et a rapidement remplacé leurs cartes. Dans les jours qui ont suivi, Monzo a partagé cette conclusion avec Ticketmaster et les services secrets américains. À la mi-avril, Monzo a envoyé 6 000 cartes de remplacement aux clients qui avaient payé avec leurs cartes Monzo chez Ticketmaster.
Je suis vraiment impressionné par la technologie de Monzo et leur engagement à porter leur protection des clients à un niveau supérieur. Cependant, cette histoire met en lumière l'insuffisance des systèmes et règlements actuels.
Nous avons besoin d'un nouvel écosystème: GDPR 2.0
Dans l'affaire Ticketmaster, Monzo protégeait leurs clients avant tout le monde. D'autres institutions financières ont depuis pris des mesures similaires. En octobre 2018, la Lloyds Bank, Halifax et Bank of Scotland ont annoncé qu'elles émettaient des dizaines de milliers de nouvelles cartes de crédit à leurs clients après que leurs renseignements sur les paiements eurent été compromis par la violation des données de Ticketmaster. Notez, cependant, qu'il a fallu plus de six mois pour ces grands Royaume-Uni. de confirmer et de mettre en œuvre des mesures de suivi en réponse à la violation.
Le marché est inefficace pour prendre des mesures globales pour remédier aux dommages causés par des violations massives de données. Les entreprises ont toujours leurs préoccupations juridiques et financières retardant toute nouvelle action ou mesure - et l'examen et l'identification de tous les problèmes de sécurité dans leurs systèmes informatiques complexes n'est pas une tâche triviale. Ces systèmes sont probablement sous la charge lourde, et il y a toujours des angles morts que les développeurs pourraient avoir négligés.
Nous avons besoin de nouvelles réglementations et d'un nouvel autorité pour motiver et aider les entreprises à mieux protéger nos données personnelles. Un nouvel écosystème est nécessaire pour que chaque partie travaille ensemble pour réduire au minimum les dommages causés par les atteintes aux données.
À titre personnel, j'aimerais être informé par ma banque de toute tentative de transactions frauduleuses sur mon compte bancaire personnel dès que possible. La fraude, telle que la prise de contrôle de compte,est la preuve solide d'une violation des données personnelles, et une fois découvert, je serais proactivement agir pour me protéger en tant que consommateur.
Liste de souhaits pour augmenter les exigences gdpR
- Mettre en œuvre de nouvelles réglementations afin de mieux motiver les entreprises à assurer un suivi actif et complet d'une atteinte à la protection des données et à conseiller les victimes potentielles.
- Établir une autorité ayant le pouvoir de faire le suivi des atteintes présumées aux données. Les entreprises qui sont soupçonnées d'avoir été violées devraient faire une vérification appropriée de la sécurité interne. Ensuite, une autorité de sécurité externe peut effectuer un deuxième audit pour confirmer ses conclusions.
- Mettre en place un mécanisme pour s'assurer que les institutions financières partagent leurs conclusions dès qu'une atteinte à la protection des données est identifiée. Cela permettrait à toutes les institutions financières de prendre des précautions le plus tôt possible.
- Donner aux consommateurs la possibilité d'activer une fonction de notification qui les informera si leur institution financière bloque des paiements ou des activités financières. Cela encouragera le client à examiner son historique de transactions et à signaler les transactions frauduleuses dans son compte le plus tôt possible. Il aidera également les institutions financières à retracer et à récupérer l'argent perdu.
- Reconnaître que les consommateurs doivent avoir le droit de demander une nouvelle carte gratuitement s'ils soupçonnent que leurs renseignements personnels ou de paiement ont été compromis. Idéalement, il s'agirait d'une carte reprogrammable qui peut être mise à jour instantanément.
Ces protections ayant été ajoutées à la réglementation actuelle sur le GDPR, les institutions financières et les fournisseurs de services seraient en mesure d'identifier plus rapidement les atteintes à la protection des données dans leurs systèmes. Les clients en profiteraient également. Ils apprendraient une violation ou un comportement suspect plus rapidement et seraient mieux placés pour protéger leurs finances par des mesures proactives. En fin de compte, ces étapes permettraient d'atténuer les dommages causés par une violation de données.
Nos vies et notre argent sont de plus en plus liés au cybermonde, et cela continuera d'attirer des cybercriminels hautement qualifiés, mettant en scène des violations de données plus sophistiquées. Personne, pas même un expert en cybersécurité, n'est à l'abri d'une violation de données. Nous avons maintenant le GDPR qui punit les entreprises pour non-conformité, mais qu'en est-il des organisations qui continuent d'utiliser des mots de passe statiques? Les mots de passe statiques facilitent la prise en charge des comptes des personnes par les mauvais acteurs en raison de toutes les informations personnelles divulguées par des violations de données. Les informations personnelles et les mots de passe ne sont plus secrets. Les entreprises, en particulier les institutions financières, devraient revoir et mettre à niveau leurs systèmes pour faire passer leur sécurité à un niveau supérieur. Au lieu d'utiliser des mots de passe ou des informations personnelles pour sécuriser un compte, il existe de nombreuses autres options d'authentification plus fortes comme la biométrie, les jetons 2FAet l'authentification FIDO. Avec l'authentification multifacteur, si les données personnelles d'un utilisateur sont exposées dans une violation, un acteur malveillant ne serait pas en mesure d'acquérir facilement des informations d'identification pour accéder à leurs comptes.
GDPR n'est qu'un début, et j'espère que GDPR 2.0 et plus de réglementations seront un jour en place pour protéger tout le monde, de sorte que les consommateurs ne seront plus l'expérience de l'anxiété et les tracas que les victimes de violation de données d'aujourd'hui ne.