Kommer du ihåg när 40 miljoner var ett stort antal? Fyrtio miljoner dollar i försäljning, 40 miljoner kunder, 40 miljoner Twitter-följare, 40 miljoner demonstranter – alla förmedlade en gång något väsentligt.

Var det bara så för dataintrång.

Som en akademiker som har studerat datastyrning under de senaste 20 åren och arbetat med hundratals styrelser och tusentals direktörer och chefer, Jag är bestört och oroad över att omfattningen och svårighetsgraden av dataintrång fortsätter att växa i oförminskad grad.

Ökande brott

Under 2011, hackare attackerade RSA Security, ett nätverkssäkerhetsföretag, stal 40 miljoner säkerhetstokens (fysiska enheter som används för att logga in på nätverk) poster. Två år senare, ytterligare 40 miljoner poster med kundlösenord och personlig information stals från mjukvaruföretaget Adobe.

Just då, konsumenterna verkade chockade över storleken på dessa överträdelser och – åtminstone tillfälligt – tappade förtroendet för dessa organisationer. Det efterlystes hårdare kontroller och hårdare straff.

Sedan dess, dataintrång och stölder har ökat i både storlek och frekvens. Hackare gjorde intrång på Sony och stal 77 miljoner skivor 2011. De gjorde samma sak mot Target Corporation för 110 miljoner skivor 2013, eBay för 145 miljoner poster 2014, Equifax för 143 miljoner poster 2017, och Marriott International för 500 miljoner poster 2018; det fanns många andra.

Dessa översköljdes alla av de tre miljarder register som äventyrats i ett kolossalt intrång mot Yahoo Inc. När företaget först avslöjade intrånget 2013, det sa att det bara hade påverkat en miljard poster. Det avslöjade den verkliga siffran 2017.

Det här är en era av stora dataintrång. Den allmänna tillgängligheten och insamlingsbarheten av data, och konsumenternas ofta passiva vilja att dela sin personliga information har lett till en ökning av hastigheten, synligheten och omfattningen av överträdelser ökar alla i oroväckande takt.

Regeringens reaktioner

Kongressen antog Sarbanes-Oxley Act 2002, som reaktion på storskaligt grovt och bedrägligt beteende från företag som Enron, WorldCom, Tyco, Adelphia och deras medskyldiga revisorer (särskilt Arthur Andersen i Enrons fall).

Bland dess många bestämmelser, Sarbanes-Oxley ger ett företags aktieägare mandat att välja externa revisorer som rapporterar direkt till organisationens styrelse istället för ledningen. Dådet kriminaliserar förfalskning av bokslut, och det tvingar verkställande direktören och finanscheferna att intyga kvartalsvis att organisationens finansiella rapporter överensstämmer.

Sarbanes-Oxley inledde en ny era av företagsstyrning, med både styrelser och ledning som kommer under allt större granskning.

Cybersäkerhetens vändpunkt

Jag tror att cybersäkerhet har nått sitt Sarbanes-Oxley-ögonblick. Norton, Internetsäkerhetsföretaget, släppte en halvårsrapport för 2019 som anger att det har varit 3, 800 offentligt rapporterade intrång, har exponerat 4,1 miljarder rekord hittills – en ökning med 54 procent jämfört med 2018.

Dessa överträdelser tog ingen hänsyn till geografi eller sektor, drabbar finansiella tjänster, underhållning, sjukvård och myndigheter. De har inkluderat individers personliga information och vårdjournaler; alarmerande, dessa intrång begicks alla av brottslingar som ännu inte har identifierats.

Enligt min åsikt, företagens svar fortsätter att vara otillräckliga, och överträdelser kan undvikas. Lagstiftare har börjat fylla detta tomrum för förbiseende.

EU-parlamentet var ett av de första att fylla luckan när det antog sin allmänna dataskyddsförordning (GDPR) 2016, som trädde i kraft den 25 maj, 2018. GDPR gäller för alla individer som är bosatta i EU, och föreskriver stränga böter (20 miljoner euro eller fyra procent av organisationens globala årliga omsättning föregående år, beroende på vilket som är störst) i händelse av integritetsintrång. EU har varit aggressiv i sin tillämpning, har utdömt mer än 100 böter hittills.

U.S. Securities and Exchange Commission (SEC) godkände enhälligt utfärdandet av avslöjandeskyldigheter för cyberincidenter i början av 2018. I Kanada, den federala regeringen har börjat ändra sin lag om personlig informationsskydd och elektroniska dokument (PIPEDA), för att definiera när en integritetsintrång ska offentliggöras och kraven på offentliggörande.

Det senaste initiativet är kanske också det strängaste. California Consumer Privacy Act (CCPA), som träder i kraft den 1 januari, 2020, gäller för alla organisationer i Kalifornien som tar emot eller avslöjar personlig information eller får 50 procent eller mer av sina intäkter från att sälja personlig information.

Dataägande

CCPA kommer att bötfälla organisationer och ge betalningar till dem som drabbas av dataintrång. Men CCPA:s mest omvälvande princip är att hävda att konsumenter äger sina data, vare sig det avslöjas frivilligt eller inte, och kan välja att inte avslöja det utan diskriminering.

Med andra ord, en konsument kan välja att hindra Facebook från att samla in information om deras onlinebeteende utan att hindras från att använda Facebooks funktioner. Inverkan på Facebook och liknande företag kan bli katastrofal eftersom majoriteten av deras intäkter kommer från reklam.

Så, vad kan en organisation göra? Först och främst, styrelsen eller tillsynsorganet måste ha integritet och cybersäkerhet på sin radar och diskutera det vid varje enskilt möte. Cybersäkerhet och integritet bör ingå i företagets riskplanering och aktivt övervakas.

Styrelseledamöter bör inte bara vara bekanta med frågorna om regelefterlevnad, men också om vilken data organisationen har, processer och, mer viktigt, går vidare. Skydd av organisationens datatillgångar blir en mycket mer transparent och prioriterad process. Som ett resultat, en dubbel förmån ges, för att skydda kundinformation som är av värde för organisationen har också effekten att skydda individer. En god cirkel uppstår.

Ett nyligen intrång hos Desjardins Group, ett kanadensiskt kreditföreningskooperativ, ger en exemplarisk responsplan. Intrånget var litet med globala mått mätt:4,2 miljoner rekord, men nästan alla företagets privat- och företagskunder.

Guy Cormier, VD och koncernchef för Desjardins, meddelade överträdelsen kort efter att banken bekräftat det, och gav kunderna tre åtgärdsåtgärder:skydd mot identitetsstöld i upp till fem år; individuellt stöd från Desjardins för att följa kunder genom alla processer för att återupprätta deras elektroniska identiteter, inklusive ersättning för eventuella ekonomiska förluster; och upp till $50, 000 per kund för att kompensera för eventuella juridiska eller bokföringskostnader som uppstår till följd av överträdelsen.

Detta aktiva engagemang från intressenter, förutom aktieägare och kunder, understryker ett autentiskt engagemang.

Sarbanes-Oxley har blivit standarden för sund förvaltningspraxis. GDPR, PIPEDA, CCPA och SECs riktlinjer utbasunerar tillsammans en ny era inom dataintegritet och skydd.

I avsaknad av initiativ, organisationer kommer att hamna under allt strängare lagstiftning och åtföljande granskning. Valet är starkt, men enkelt:börja ta datasekretess på allvar, eller få det infört. Cybersäkerhet har nått sitt Sarbanes-Oxley-ögonblick.

Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.