隨著歐盟「通用資料保護法規」(GDPR) 將於2018年5月25日上路,全球企業皆應開始預做準備。然而,根據全球網路資安解決方案領導廠商趨勢科技 最新的一項針對美國及歐洲共11個國家的研究調查發現,企業高階主管並未認真看待這項法規,使得他們太過相信自己應該能夠符合法規。
對於 GDPR 的認知
趨勢科技研究顯示,企業對於 GDPR 背後的原則都有相當程度的認知:95% 的企業領導人知道他們必須符合這項法規,85% 已閱讀過相關規定。此外,79% 的企業對自己的資料保護措施相當有信心。然而 Gartner Inc. 預測,有超過 50% 的企業將無法在 2018年5月25日百分之百達到 GDPR 的要求。根據該機構的建議,企業應該現在就開始預做準備,並且將重點擺在五項最重要的變革。
儘管大多數企業都已意識到這項法規即將上路,但對於法規中要求保護的「個人身分識別資訊」(Personally Identifiable Information,PII) 仍舊不清楚其確切內涵。在所有受訪者當中,有 64%的人不曉得客戶的出生日期也算是 PII,另有42%的人認為電子郵件行銷資料庫不算 PII。此外,也有 32% 的人認為住址不是 PII,有21%的人認為客戶電子郵件地址不是 PII。這些結果都明確顯示企業並未真正做好準備,也不像他們自己所想的可以高枕無憂。但不論如何,駭客只需這些資料就能從事各種身分冒用詐騙,而任何未妥善保護這類資訊的企業都將陷入危險並面臨罰鍰。
違規的代價
根據這份調查,有高達66%的受訪者對於可能面臨的罰鍰絲毫不擔心,所以並未做好必要的資安防護。僅有33%的人知道他們可能面臨高達公司年營業額4%的罰鍰。此外,66%的企業認為商譽及品牌損失是資料外洩事件當中最大的損害,46%的受訪者認為影響最大的應該是現有客戶。這樣的心態實在令人擔憂,因為企業甚至可能因為資料外洩而被迫倒閉。
趨勢科技資安研究副總裁 Rik Ferguson 指出:「投資一套尖端防護技術並落實資料保護政策,應被視為一項聰明的商業作法,而非營運上的負擔。我們身為企業的資安戰略夥伴,有責任協助客戶達成 GDPR 的資料保護要求。」
權責歸屬
趨勢科技也發現,企業並不清楚當一家美國的服務供應商發生企業客戶的歐盟 (EU) 資料外洩時,誰該負起責任。僅有14%的受訪者能正確答出:當發生資料外洩時,供應商和企業客戶雙方都有責任。其他51%的受訪者認為應該處罰持有歐盟 (EU) 資料的企業客戶,24%則認為應該處罰美國的服務供應商。
此外,企業也不確定誰應負起確保法規遵循的責任。有31%的受訪者認為執行長 (CEO) 應該負責帶領企業遵循 GDPR 法規,另有27%認為資安長 (CISO) 及其資安團隊應該負起領導的責任。但這些企業當中卻僅有21%確實設置了一位高階主管來負責 GDPR 事務。目前,65%的企業都是交由 IT 部門來處理,而且僅有22%的企業有董事會成員或高階管理階層參與其中。
隨著資安威脅日益精密,企業通常缺乏必要的專業能力來與之抗衡,並且企業需要的是多層式資料防護技術。根據 GDPR 的要求,企業必須根據其所面臨的威脅而建置相關的尖端技術。儘管如此,僅有34%的企業已建置尖端防禦來偵測入侵者,33%的企業已經投入資料外洩防護技術,31%已經採用資料加密技術。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!