欧洲隐私监管机构正在加强对导致个人信息暴露的网络安全漏洞采取行动,凸显出与公司数据保护相关的法律和财务风险。
目前企业方面存在未落实数据加密、使用高安全性密码以及限制数据库访问等安全措施的问题,这些都违反了欧盟的隐私规定。
隐私专家表示,最近颇受关注的几桩网络攻击事件彰显出破坏性黑客攻击可能带来的严重后果,但高管们对于监管机构加码审查的风险往往没有给予足够重视。
克罗地亚隐私监管机构上周对一家技术服务提供商处以罚款,理由是该公司缺乏适当的网络防护措施,导致黑客访问了28,085名个人的数据。该监管机构没有透露这家供应商的名称,也未透露罚款金额。
上个月挪威隐私监管机构对该国银行BRAbank ASA罚款40万挪威克朗(约合45,975美元),理由是这家银行没有对新的网上银行服务进行合理测试,导致客户联系信息暴露。
挪威隐私监管部门高级工程师Eirik Gulbrandsen表示:“在与网络安全漏洞相关的《通用数据保护条例》(GDPR)违规情况中,相当大一部分是完全可以避免的,只需要采取基本的网络安全防护措施。”
欧盟于2018年通过的GDPR要求企业采取保护性措施来防范安全风险,但允许各国监管机构自行决定需要采取什么措施来保护个人信息。过去一年中,在新冠疫情期间员工居家办公的情况下,欧盟监管机构还对企业安全防护引发的隐私问题进行了详细审查。
英国隐私监管机构在去年10月对英国航空公司(British Airways PLC, BAY.LN)罚款2,000万英镑(合2,758万美元),因该公司的安全问题导致数据泄露,暴露了约429,612人的个人数据、108,000名客户的支付卡号码以及77,000人的支付卡和安全码(CVV)组合。该公司上周和解了有关该事件的诉讼,和解金额未予披露。
瑞典隐私监管机构的信息技术顾问Adolf Slama说,到目前为止,该机构有关GDPR的决定中有一半涉及网络安全问题。他说,瑞典官员调查的大多数与安全有关的问题,都与公司将个人数据的访问权过度放开有关。
比利时监管机构在4月提出了类似的担忧,当时他们对一家金融机构处以10万欧元(约合11.8万美元)罚款,因其没有限制员工对央行数据库的访问,而且员工用同一个密码登录该系统。该数据保护机构称,一名董事会成员利用该数据库获取其前妻的财务信息。
欧洲不同国家的几个数据保护监管机构在最近几个月发布指南,指导公司如何调查并向有关部门报告黑客事件,以及在受到勒索软件攻击时如何保护数据。
西班牙隐私监管机构在6月发布的一份报告中说,在2020年5月至2021年5月期间,该机构收到的关于黑客和勒索软件造成的数据入侵的通知比任何其他问题或不当做法都多。
西班牙隐私监管机构在3月对欧罗巴航空(Air Europa Lineas Aereas SAU)处以60万欧元的罚款,因有48.9万人的个人信息和支付卡数据在一次数据入侵事件中暴露。
该监管机构表示,欧罗巴航空的母公司Globalia Corporacion Empresarial SA在2018年曾遭到黑客攻击。该监管机构还称,欧罗巴航空没有采用多重要素认证,而且密码设置很弱。
目前的情况对许多公司来说,如果技术和网络安全团队与法律专业人士在隐私风险方面密切协作,不要独自解决数据安全问题,那么就更容易避开监管机构的关注。公司的运营需要一个网络安全战略,一个适用于整个公司的安全战略。
相关文章
精彩导读
热门资讯
关注我们
