Apa itu enkripsi dan apa yang dilindunginya?
Enkripsi adalah proses penyandian informasi sehingga tidak dapat diakses oleh orang yang tidak berwenang. Jika data terenkripsi perusahaan Anda bocor, siapa pun yang mencuri atau menemukan data tersebut tidak akan dapat membacanya, karena tidak dapat dipahami tanpa kunci dekripsi yang tepat.
Banyak orang tidak menyadari bahwa banyak informasi yang sudah dilindungi oleh teknologi enkripsi. Misalnya, belanja online dan internet banking tidak akan berfungsi tanpa enkripsi yang baik. Enkripsi dirancang untuk melindungi uang dan informasi pribadi. Untuk lingkungan bisnis, enkripsi harus digunakan untuk melindungi kekayaan intelektual dan pengetahuan perusahaan Anda serta data pribadi yang Anda proses di dalam perusahaan Anda.
Baca lebih banyak
Kekayaan intelektual dan pengetahuan dapat mencakup produk atau layanan yang dibuat oleh perusahaan Anda. Mereka juga dapat menjadi metode yang Anda gunakan untuk berhasil menjual produk tersebut, atau proses yang digunakan untuk memastikan bahwa mereka berfungsi secara efektif sepanjang siklus hidup mereka. Demikian pula, mereka dapat menyertakan rencana bisnis dan pemasaran untuk tahun kalender berikutnya. Semua informasi ini dapat dimonetisasi atau disalahgunakan oleh penjahat siber atau pencuri.
Informasi pribadi yang dikumpulkan dan diproses oleh perusahaan Anda dapat mencakup informasi tentang pelanggan dan karyawan. Oleh karena itu Anda diwajibkan oleh hukum untuk melindungi akses ke data tersebut, sebagaimana ditetapkan oleh General Data Protection Regulation (GDPR) Uni Eropa.
GDPR dan enkripsi
GDPR mendefinisikan data pribadi. Ini termasuk nama dan nama keluarga, foto, alamat email, nomor telepon, nomor rekening, sidik jari dan suara. Peraturan ini, yang telah berlaku di semua negara anggota UE sejak 25 Mei 2018, menjelaskan enkripsi sebagai perlindungan terhadap risiko reputasi.
Bayangkan salah satu karyawan Anda kehilangan kunci USB yang berisi daftar pelanggan Anda. Menurut GDPR, Anda harus memberi tahu semua orang di daftar tentang insiden tersebut. Mereka mungkin menganggap pelanggaran data sebagai alasan untuk mengganti pemasok. Namun, kewajiban untuk memberi tahu orang-orang ini tidak berlaku jika data pribadi mereka telah dienkripsi.
Apakah Anda tahu apa yang harus dilakukan jika perusahaan Anda membocorkan informasi pribadi?
Kewajiban untuk memberitahukan kepada regulator:
Anda harus melaporkan pelanggaran data pribadi apa pun kepada otoritas perlindungan data yang relevan. Kewajiban ini tidak hanya berlaku untuk insiden besar, seperti kebocoran database yang besar, tetapi juga untuk kesalahan kecil. Misalnya, jika Anda salah mencampur isi amplop yang ditujukan untuk dua penerima yang berbeda, Anda harus melaporkannya.
72 jam
Anda harus memberi tahu otoritas pengawas terkait tentang insiden tersebut dalam waktu 72 jam sejak Anda mengetahuinya, jadi bukan sejak insiden itu terjadi. Namun, jika batas waktu ini tidak terpenuhi, penundaan pemberitahuan (yaitu alasan pelanggaran tidak dilaporkan dalam waktu 72 jam) harus dibenarkan.
Kewajiban untuk memberi tahu individu yang terkena dampak
Dalam kasus yang lebih serius, selain memberi tahu otoritas perlindungan data, Anda juga harus memberi tahu individu yang datanya terpengaruh oleh insiden tersebut. Namun, langkah ini tidak diperlukan jika insiden terjadi setelah perusahaan Anda menerapkan langkah-langkah teknis keamanan perusahaan yang sesuai, khususnya yang membuat data pribadi tidak dapat dipahami oleh orang yang tidak berwenang untuk mengaksesnya. Istilah hukum yang agak rumit "tindakan teknis" mengacu pada enkripsi.
Kemungkinan denda terkait dengan GDPR
Kegagalan untuk memenuhi kewajiban untuk melaporkan pelanggaran data ke otoritas pengawas yang relevan dapat dihukum dengan denda hingga €10 juta atau, dalam kasus perusahaan, hingga maksimum 2% dari pendapatan tahunan di seluruh dunia dari sebelumnya. tahun keuangan. Selain denda finansial yang tinggi, otoritas perlindungan data juga dapat memberlakukan hal-hal berikut:
- batasan sementara atau definitif, termasuk larangan pemrosesan data pribadi
- penghapusan data pribadi
Ini berarti bahwa Anda dapat kehilangan semua kontak untuk pelanggan Anda yang sudah ada, atau perusahaan Anda dapat sementara dilarang menyimpan data tersebut.
Pelanggaran data memengaruhi bisnis dari semua ukuran
Banyak bisnis percaya bahwa mereka tidak rentan terhadap serangan siber atau pelanggaran data karena ukurannya yang kecil dan aset yang terbatas. Sayangnya, ini tidak terjadi: menurut analis IDC, usaha kecil dan menengah adalah korban lebih dari 70 persen pelanggaran keamanan. Namun kabar baiknya adalah bahwa perusahaan tidak perlu melaporkan serangan siber kecuali data pribadi telah diretas atau bocor.
Karena kesan yang salah bahwa bisnis lain tidak menghadapi serangan siber, perusahaan mungkin merasa malu atau takut akan perhatian negatif jika mereka melaporkan serangan.
ESET mengamati bahwa untuk tahun pertama setelah GDPR mulai berlaku, otoritas pengawas di Eropa masih membiasakan diri dengan aturan baru. Kemungkinan mereka sekarang akan mengenakan lebih banyak denda.
Namun, pengalaman menunjukkan bahwa jika perusahaan yang terkena dampak bekerja sama, mereka cenderung menerima hukuman yang lebih rendah. Tampaknya juga jika perusahaan Anda bukan raksasa internet, Anda tidak mungkin mendapatkan denda tingkat maksimum.
Oleh karena itu, kami merekomendasikan agar perusahaan selalu mematuhi kewajiban pemberitahuan, bekerja sama dengan otoritas pengawas dan mendidik karyawan mereka tentang apa itu data pribadi dan bagaimana data itu harus dilindungi.
Solusi enkripsi ESET
ESET Endpoint
Encryption
ESET Endpoint Encryption melindungi data sensitif pada perangkat perusahaan melalui enkripsi. Ini menyediakan enkripsi file dan folder, email dan lampiran, media yang dapat dipindahkan, disk virtual serta seluruh disk. Mudah digunakan, menawarkan kendali jarak jauh penuh atas kunci enkripsi dan tidak memerlukan server untuk penerapannya. Dapatkan uji coba gratis 30 hari dan coba ESET Endpoint Encryption di perusahaan Anda.