(图/趋势科技提供)
趋势科技研究显示:企业高阶主管对欧盟「通用资料保护法规」(GDPR) 仍未做好准备
57% 的企业高阶主管试图迴避 GDPR 的责任
42% 的企业不晓得电子邮件行销资料库中即含有个人身分识别资讯 (PII)
22% 的企业表示即使违反规定被发现,他们也「不太在意罚锾」
【2017年10月6日台北讯】随着欧盟「通用资料保护法规」(GDPR) 即将于 2018 年 5 月 25 日上路,全球企业皆应开始预做准备。然而,根据全球网路资安解决方案领导厂商趋势科技 (东京证券交易所股票代码:4704) 最新的一项针对美国及欧洲共11个国家的研究调查发现,企业高阶主管并未认真看待这项法规,使得他们太过相信自己应该能够符合法规。
对于 GDPR 的认知
趋势科技研究显示,企业对于 GDPR 背后的原则都有相当程度的认知:95% 的企业领导人知道他们必须符合这项法规,85% 已阅读过相关规定。此外,79% 的企业对自己的资料保护措施相当有信心。然而 Gartner Inc. 预测,有超过 50% 的企业将无法在 2018 年5月25 日百分之百达到 GDPR 的要求。根据该机构的建议,企业应该现在就开始预做准备,并且将重点摆在五项最重要的变革。
尽管大多数企业都已意识到这项法规即将上路,但对于法规中要求保护的「个人身分识别资讯」(Personally Identifiable Information,PII) 仍旧不清楚其确切内涵。在所有受访者当中,有 64% 的人不晓得客户的出生日期也算是 PII,另有 42% 的人认为电子邮件行销资料库不算 PII。此外,也有 32% 的人认为住址不是 PII,有 21% 的人认为客户电子邮件地址不是 PII。这些结果都明确显示企业并未真正做好准备,也不像他们自己所想的可以高枕无忧。但不论如何,骇客只需这些资料就能从事各种身分冒用诈骗,而任何未妥善保护这类资讯的企业都将陷入危险并面临罚锾。
违规的代价
根据这份调查,有高达 66% 的受访者对于可能面临的罚锾丝毫不担心,所以并未做好必要的资安防护。仅有 33% 的人知道他们可能面临高达公司年营业额 4% 的罚锾。此外,66% 的企业认为商誉及品牌损失是资料外洩事件当中最大的损害,46% 的受访者认为影响最大的应该是现有客户。这样的心态实在令人担忧,因为企业甚至可能因为资料外洩而被迫倒闭。
趋势科技资安研究副总裁 Rik Ferguson 指出:「投资一套尖端防护技术并落实资料保护政策,应被视为一项聪明的商业作法,而非营运上的负担。我们身为企业的资安战略伙伴,有责任协助客户达成 GDPR 的资料保护要求。」
权责归属
趋势科技也发现,企业并不清楚当一家美国的服务供应商发生企业客户的欧盟 (EU) 资料外洩时,谁该负起责任。仅有 14% 的受访者能正确答出:当发生资料外洩时,供应商和企业客户双方都有责任。其他 51% 的受访者认为应该处罚持有欧盟 (EU) 资料的企业客户,24% 则认为应该处罚美国的服务供应商。
此外,企业也不确定谁应负起确保法规遵循的责任。有 31% 的受访者认为执行长 (CEO) 应该负责带领企业遵循 GDPR 法规,另有 27% 认为资安长 (CISO) 及其资安团队应该负起领导的责任。但这些企业当中却仅有 21% 确实设置了一位高阶主管来负责 GDPR 事务。目前,65% 的企业都是交由 IT 部门来处理,而且仅有 22% 的企业有董事会成员或高阶管理阶层参与其中。
技术要求
随着资安威胁日益精密,企业通常缺乏必要的专业能力来与之抗衡,并且企业需要的是多层式资料防护技术。根据 GDPR 的要求,企业必须根据其所面临的威胁而建置相关的尖端技术。尽管如此,仅有 34% 的企业已建置尖端防御来侦测入侵者,33% 的企业已经投入资料外洩防护技术,31% 已经採用资料加密技术。
趋势科技一直致力协助客户达成 GDPR 法规要求,最重要的就是跨世代的 XGen™ 防护技术,它能保护企业所有角落的个人资料。这套解决方案是专为所有可能储存资料的环境而最佳化,不论是实体、虚拟、云端或是容器式环境。XGen 既是一项策略,也是一套平台,它涵盖了趋势科技的所有解决方案,藉由环环相扣的防护在资料外洩发生的当下提供警示与报表。这套方法能让企业拥有 GDPR 所要求的尖端技术。
研究报告
如需有关趋势科技研究的进一步资讯,或是想了解企业领导人对于 GDPR 的看法,请参阅我们的图文解说和相关的部落格文章。这份报告是趋势科技与 Opinium 合作,在 2017 年 5 月 22 日至 6 月 28 日期间调查 1,132 位线上受访者所得到的结果。受访对象为员工 500 人以上的企业 IT 决策者,涵盖:美国、英国、法国、义大利、西班牙、荷兰、德国、波兰、瑞典、奥地利、瑞士等 11 个国家。受访者皆为高阶经理人、资深主管,或中阶主管,其所属产业包括:零售、金融服务、公家机关、媒体与营造等等。
