Legile care urmează să fie adoptate, împreună cu evoluțiile mai ample din peisajul amenințărilor, vor adăuga un nivel suplimentar de complexitate și urgență pentru echipele de securitate și conformitate.

În contextul Data Privacy Week (27 – 31 ianuarie) și Data Protection Day (28 ianuarie), este momentul perfect pentru a evidenția rolul crucial pe care protecția datelor îl joacă în succesul organizațiilor moderne.

De fapt, confidențialitatea și protecția datelor merg în paralel cu securitatea cibernetică. Legi importante, precum GDPR, subliniază nu doar necesitatea de a respecta dreptul clienților la confidențialitate, ci și de a proteja cele mai sensibile informații personale (PII) prin tehnologii de ultimă generație, cum ar fi criptarea. Campanii precum Data Privacy Week sunt mai mult decât simple evenimente anuale – ele ar trebui privite ca apeluri la acțiune pentru a acorda prioritate securității și confidențialității datelor într-un peisaj digital în continuă evoluție.

Ultimele 12 luni au reprezentat o perioadă importantă pentru confidențialitate la nivel mondial, datorită noilor legi, hotărârilor juridice importante și tendințelor emergente în materie de tehnologie și amenințări. Este timpul să ne pregătim pentru mai mult de atât în 2025.

Cum a arătat anul 2024? În ultimul an am fost martori la:

Unele amenzi și despăgubiri exorbitante
Acestea includ:
– o amendă GDPR aplicată LinkedIn de 310 milioane EUR (318 milioane USD) pentru că nu a solicitat consimțământul formal al utilizatorilor pentru a prelucra datele cu terți,
– o amendă GDPR pentru Uber de 294 milioane EUR (332 milioane USD) pentru că nu a protejat în mod adecvat datele șoferilor stocate în SUA,
– o amendă GDPR pentru Meta de 91 de milioane de euro (93 de milioane de dolari) pentru stocarea parolelor utilizatorilor sub formă de fișiere de text,
– o despăgubire între Meta și statul Texas de 1,4 miliarde de dolari pentru colectarea și utilizarea ilegală a datelor biometrice ale cetățenilor.

Hotărâri importante ale Curții de Justiție a Uniunii Europene (CJUE)
Deciziile semnificative ale Curții de Justiție a Uniunii Europene (CJUE) vor avea implicații majore pentru organizațiile care operează în blocul comunitar. Acestea au inclus:
– cazul Lindenpotheke, în care CJUE a decis că întreprinderile pot da în judecată rivalii pentru încălcări ale GDPR în temeiul legislației privind concurența neloială. Aceeași hotărâre a extins definiția datelor privind sănătatea,
– C-621/22, în care CJUE a clarificat „interesele legitime” ca bază legală pentru prelucrarea datelor cu caracter personal, atât timp cât organizațiile respectă măsuri stricte de confidențialitate.

Mai multe legi privind securitatea cibernetică
Printre cele adoptate sau înaintate în 2024 s-au numărat:
– NIS2, care include mai multe organizații în sfera sa de aplicare și le obligă să implementeze controale stricte de securitate cibernetică,
– Cyber Resilience Act (CRA), care impune un set strict de cerințe de securitate pentru hardware-ul și software-ul comercializate în regiune,
– Cyber Solidarity Act (CSA), care este concepută pentru a ajuta statele membre să detecteze, să se pregătească și să răspundă mai bine la amenințările pe scară largă la adresa securității cibernetice.

Inițiative legislative globale privind AI
Acestea includ:
– Legea UE privind AI,
– mai mulți semnatari (inclusiv Marea Britanie, UE și SUA) ai Convenției-cadru a Consiliului Europei privind AI,
– Cadrul de guvernanță privind siguranța AI din China.

Pentru a afla mai multe despre modul în care organizația dvs. poate fi conformă cu reglementările specifice, accesați pagina ESET Cybersecurity Compliance for Business.

La ce să ne așteptăm în 2025?

Impactul multora dintre aceste evenimente va fi resimțit pe parcursul anului 2025 și ulterior, în timp ce legile viitoare și tendințele pe termen lung ale peisajului amenințărilor vor crea și mai multă complexitate și urgență pentru echipele de conformitate și securitate. Fiți pregătiți pentru:

Mai multe legi privind protecția datelor
Acestea includ Legea C-27 din Canada, Legea privind utilizarea și accesul la date (Data Use and Access Bill) din Marea Britanie și nu mai puțin de opt legi statale privind confidențialitatea în Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota și Maryland. Acestea vor contribui cumulativ la creșterea gradului de conștientizare și la consfințirea drepturilor la viață privată prin lege, precum și la facilitarea aplicării reglementărilor. Rezultatul final va fi, cel mai probabil, creșterea presiunii asupra echipelor de conformitate și a liderilor de afaceri pentru a îmbunătăți măsurile de protecție a datelor.

Mai multe măsuri de punere în aplicare
De asemenea, ne putem aștepta ca autoritățile de reglementare să înceapă să acționeze pe măsură ce legile adoptate în 2024 încep să se aplice și diverse cerințe intră în vigoare. De exemplu, Legea UE privind AI va determina:
– interzicerea, începând cu 2 februarie, a sistemelor AI care prezintă riscuri inacceptabile (inclusiv scoruri sociale și extragerea necontrolată a datelor faciale),
– cerințele pentru modelele AI de uz general vor intra în vigoare pe 2 august. Acestea vor include obligația ca dezvoltatorii de AI generativă (GenAI) să evalueze și să atenueze riscurile sistemice și să documenteze măsurile de securitate cibernetică.

Mai multe amenințări și mai multe riscuri pentru confidențialitate
Anul trecut, în SUA s-au înregistrat niveluri record ale breșelor de date raportate public, peste 353 milioane de utilizatori finali fiind expuși riscului de fraudare a identității drept consecință. Pe măsură ce instrumentele de inteligență artificială, datele de autentificare furate și ofertele de servicii continuă să se răspândească pe piața neagră a criminalității cibernetice, se așteaptă un val de atacuri relativ sofisticate care ar putea lua prin surprindere echipele de securitate nepregătite. În special, AI generativă va îmbunătăți calitatea campaniilor de inginerie socială și de recunoaștere a activelor IT vulnerabile și expuse.

Organizațiile care nu reușesc să își îmbunătățească securitatea conform celor mai bune practici riscă să atragă atenția autorităților globale de reglementare a confidențialității.

Infractori cibernetici care manipulează legislația în avantajul lor
Așa cum au procedat după introducerea GDPR, infractorii cibernetici ar putea folosi amenințarea unei acțiuni de reglementare pentru a forța victimele să plătească recompensele solicitate în atacuri de extorcare. De exemplu, amenzile NIS2 ar putea ajunge până la 10 milioane de euro sau 2% din venitul anual global. De asemenea, este posibil ca, dacă noua lege contribuie la îmbunătățiri în rândul organizațiilor reglementate, actorii de amenințări să își îndrepte atenția către companiile care nu fac obiectul directivei, cum ar fi firmele mai mici.

Inteligența artificială pune în pericol confidențialitatea datelor
Sistemele de inteligență artificială trebuie să fie antrenate pe volume uriașe de date. Uneori, aceste date sunt preluate de pe internet, iar alteori provin din conturile existente ale clienților. Astfel se ajunge la potențiale provocări legate de confidențialitate în cazul în care consimțământul nu a fost obținut în mod explicit (așa cum a constatat LinkedIn în Regatul Unit). Sistemele de inteligență artificială opace pot, de asemenea, să îngreuneze eliminarea sau corectarea informațiilor personale de către organizații la cererea utilizatorilor. Mai multe state americane planifică deja legi privind inteligența artificială, urmând exemplul statului Colorado.

Ce să faceți în continuare

În acest context, 2025 ar putea fi un an crucial pentru echipele de securitate și conformitate. Asigurați-vă că rămâneți cu un pas înainte:
– Rămâneți la curent cu modificările relevante ale reglementărilor și legislației și înțelegeți cerințele de conformitate care se aplică organizației dvs.,
– Îmbunătățiți securitatea datelor în conformitate cu cele mai bune practici din industrie,
– Asigurați-vă că identificați corect deținătorii de date corporative și creați un sistem robust de raportare care să identifice rolurile și responsabilitățile tuturor persoanelor implicate,
– Efectuați evaluări ale impactului asupra protecției datelor (DPIA) înainte de introducerea oricărui produs sau serviciu nou (de exemplu, un nou instrument de inteligență artificială); totodată, puneți în aplicare măsuri de protecție adecvate bazate pe DPIA,
– Monitorizați performanța, revizuiți protocoalele de securitate și abordați domeniile care necesită atenție.

Protecția datelor poate părea adesea o povară. Dar, de fapt, ar trebui privită drept o oportunitate. Aceasta oferă organizației dvs. șansa de a spori loialitatea și încrederea clienților, fără a mai menționa reducerea riscului de breșe dăunătoare din punct de vedere financiar și reputațional. Priviți anul 2025 din această perspectivă, iar următoarele 12 luni ar putea aduce noi posibilități de afaceri.