趨勢科技研究顯示:企業高階主管對歐盟「通用資料保護法規」(GDPR) 仍未做好準備
【2017年10月6日台北訊】隨著歐盟「通用資料保護法規」(GDPR) 即將於 2018 年 5 月 25 日上路,全球企業皆應開始預做準備。然而,根據全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 最新的一項針對美國及歐洲共11個國家的研究調查發現,企業高階主管並未認真看待這項法規,使得他們太過相信自己應該能夠符合法規。
對於 GDPR 的認知
趨勢科技研究顯示,企業對於 GDPR 背後的原則都有相當程度的認知:95% 的企業領導人知道他們必須符合這項法規,85% 已閱讀過相關規定。此外,79% 的企業對自己的資料保護措施相當有信心。然而 Gartner Inc. 預測,有超過 50% 的企業將無法在 2018 年5月25 日百分之百達到 GDPR 的要求。根據該機構的建議,企業應該現在就開始預做準備,並且將重點擺在五項最重要的變革。
儘管大多數企業都已意識到這項法規即將上路,但對於法規中要求保護的「個人身分識別資訊」(Personally Identifiable Information,PII) 仍舊不清楚其確切內涵。在所有受訪者當中,有 64% 的人不曉得客戶的出生日期也算是 PII,另有 42% 的人認為電子郵件行銷資料庫不算 PII。此外,也有 32% 的人認為住址不是 PII,有 21% 的人認為客戶電子郵件地址不是 PII。這些結果都明確顯示企業並未真正做好準備,也不像他們自己所想的可以高枕無憂。但不論如何,駭客只需這些資料就能從事各種身分冒用詐騙,而任何未妥善保護這類資訊的企業都將陷入危險並面臨罰鍰。
違規的代價
根據這份調查,有高達 66% 的受訪者對於可能面臨的罰鍰絲毫不擔心,所以並未做好必要的資安防護。僅有 33% 的人知道他們可能面臨高達公司年營業額 4% 的罰鍰。此外,66% 的企業認為商譽及品牌損失是資料外洩事件當中最大的損害,46% 的受訪者認為影響最大的應該是現有客戶。這樣的心態實在令人擔憂,因為企業甚至可能因為資料外洩而被迫倒閉。
趨勢科技資安研究副總裁 Rik Ferguson 指出:「投資一套尖端防護技術並落實資料保護政策,應被視為一項聰明的商業作法,而非營運上的負擔。我們身為企業的資安戰略夥伴,有責任協助客戶達成 GDPR 的資料保護要求。」
權責歸屬
趨勢科技也發現,企業並不清楚當一家美國的服務供應商發生企業客戶的歐盟 (EU) 資料外洩時,誰該負起責任。僅有 14% 的受訪者能正確答出:當發生資料外洩時,供應商和企業客戶雙方都有責任。其他 51% 的受訪者認為應該處罰持有歐盟 (EU) 資料的企業客戶,24% 則認為應該處罰美國的服務供應商。
此外,企業也不確定誰應負起確保法規遵循的責任。有 31% 的受訪者認為執行長 (CEO) 應該負責帶領企業遵循 GDPR 法規,另有 27% 認為資安長 (CISO) 及其資安團隊應該負起領導的責任。但這些企業當中卻僅有 21% 確實設置了一位高階主管來負責 GDPR 事務。目前,65% 的企業都是交由 IT 部門來處理,而且僅有 22% 的企業有董事會成員或高階管理階層參與其中。
技術要求
隨著資安威脅日益精密,企業通常缺乏必要的專業能力來與之抗衡,並且企業需要的是多層式資料防護技術。根據 GDPR 的要求,企業必須根據其所面臨的威脅而建置相關的尖端技術。儘管如此,僅有 34% 的企業已建置尖端防禦來偵測入侵者,33% 的企業已經投入資料外洩防護技術,31% 已經採用資料加密技術。
趨勢科技一直致力協助客戶達成 GDPR 法規要求,最重要的就是跨世代的 XGen™ 防護技術,它能保護企業所有角落的個人資料。這套解決方案是專為所有可能儲存資料的環境而最佳化,不論是實體、虛擬、雲端或是容器式環境。XGen 既是一項策略,也是一套平台,它涵蓋了趨勢科技的所有解決方案,藉由環環相扣的防護在資料外洩發生的當下提供警示與報表。這套方法能讓企業擁有 GDPR 所要求的尖端技術。
研究報告
如需有關趨勢科技研究的進一步資訊,或是想了解企業領導人對於 GDPR 的看法,請參閱我們的圖文解說和相關的部落格文章。這份報告是趨勢科技與 Opinium 合作,在 2017 年 5 月 22 日至 6 月 28 日期間調查 1,132 位線上受訪者所得到的結果。受訪對象為員工 500 人以上的企業 IT 決策者,涵蓋:美國、英國、法國、義大利、西班牙、荷蘭、德國、波蘭、瑞典、奧地利、瑞士等 11 個國家。受訪者皆為高階經理人、資深主管,或中階主管,其所屬產業包括:零售、金融服務、公家機關、媒體與營造等等。