מערך הסייבר הבריטי לא ידווח לרגולטור הפרטיות על ארועי אבטחה

המרכז הלאומי לביטחון הסייבר (NCSC) של בריטניה לא ידווח באופן אוטומטי על אירועי אבטחת מידע לרגולטור הפרטיות הבריטי (ICO). ההחלטה נועדה למנוע מתקנות הגנת המידע החדשות (GDPR), לפגוע בנכונות של אירגונים לשתף מידע על התקפות סייבר עם ה-NCSC. כך בהצהרה משותפת של ה-NCSC ורגולטור הפרטיות בכנס ה-CYBERUK.

תקנות הגנת המידע של האיחוד האירופי שנכנסו לתוקפן במאי 2018, מאפשרות לרגולטורים מדינתיים כמו ה-ICO הבריטי להטיל על אירגונים מפרים קנסות כבדים במקרה שהפרו את הוראותיהן. ה-NCSC, פועל במשותף עם התעשייה הבריטית על מנת לחזק את הגנת התשתית הלאומית הקריטית של בריטניה מפני התקפות סייבר. החשש הוא כי קנסות גדולים אלה ירתיעו חברות מלשתף מידע על אירועי אבטחה עם ה-NCSC מחשש שהאירוע ידווח לרגולטור.

"למרות שאנחנו עובדים יחד עם הרגולטור, ה-NCSC לעולם לא יעביר מידע ספציפי לרגולטור מבלי לבקש תחילה את הסכמת הארגון שנפגע מהתקפת סייבר", כך לדברי קירן מרטין, מנכ"ל NCSC. ג 'יימס דיפל ג' ונסטון, סגן הנציב של הרגולטור, אמר כי "למרות הסכמת הרגולטור להחלטת ה-NCSC, על הארגונים עצמם חלה חובה משפטית לדווח על אירועי אבטחה לרגולטור והפרה של חובה זו כפופה לקנסות משמעותיים". עוד הוסיף, כי המיקוד של ה- NCSC הוא בהגנה מפני התקפות סייבר לעומת הרגולטור שממוקד יותר בהגנה על מידע אישי של אנשים.