Обладая огромным объемом информации в Интернете, мы все беспокоимся о возможных нарушениях безопасности. Но потенциально эти нарушения могут быть сохранены в секрете в США.
Редко проходит месяц без грохота взлома данных. Достаточно взглянуть на утечку Эшли Мэдисона. , который видел детали учетной записи обманывающих супругов, сброшенных онлайн. Это большое дело, и оно имеет серьезные последствия У пользователей AdultFriend Finder были похожие головные боли. Взлом в мае. Даже eBay был взломан прошлом году.
Хранение любой утечки в секрете звучит безумно. Но так ли это?
Конечно, это отвечало бы интересам участвующих компаний, но это также могло бы оказать положительное влияние на клиентов. Нет, правда. Это не все розы, но это может быть не так ужасно, как кажется.
Когда компании молчат
Предлагаемое законодательство может позволить компаниям при некоторых обстоятельствах оставаться в тупике, когда хакеры получают доступ к своим системам, но только в том случае, если они считают, что «нет разумных шансов», что такое нарушение может серьезно повлиять на клиентов. Как правило, любая компания, ставшая жертвой хакеров, должна будет отправить данные в Федеральную торговую комиссию (FTC). Это сделало бы текущие государственные законы о раскрытии информации, большинство из которых подталкивают компании к объявлению утечек, спорными.
По сути, если не украдено ничего чувствительного или потенциально вредного, предприятиям не нужно уведомлять вас, когда они взломаны.
Взломанные компании должны будут оценить, что извлеченные данные должны беспокоить клиентов, т.е. может привести к краже личных данных или банковской информации. Нормальные процедуры должны будут следовать. Уведомления должны быть отправлены, если:
«Безопасность нарушение включает в себя: (1) личную информацию более 10 000 человек, (2) базу данных, содержащую личную информацию более 1 миллиона человек, (3) базы данных федерального правительства или (4) личную информацию известных федеральных служащих или подрядчиков быть вовлеченным в национальную безопасность или правоохранительные органы «.
Джеральд Фергюсон, адвокат по конфиденциальности в Baker & Hostetler LLP, который консультирует компании при возникновении утечек, заявил Wall Street Journal :
«[Законопроект] приведет к меньшему количеству уведомлений… Это позволит компаниям провести второй анализ того, существует ли разумный риск финансового ущерба. Когда вы начинаете проводить анализ риска вреда, есть большая свобода действий ».
Закон о защите данных и уведомлениях о нарушениях 2015 года был зачитан дважды и передан в Комитет по торговле, науке и транспорту в январе.
Почему это отлично подходит для бизнеса
Это все о том, что, по иронии судьбы, Эшли Мэдисон предложила : усмотрение.
Репутация является ключевым. Вот почему, например, Carphone Warehouse оставался застенчивым после недавнего нарушения, которое, возможно, затронуло 2,4 миллиона человек в Великобритании как можно дольше. Никто не хочет использовать компанию, которую они считают уязвимой для атак. Oracle выстрелил себе в ногу, попросив клиентов не перепроектировать их код. чтобы найти проблемы безопасности. Это то же самое, что признать, что у вас много вопросов, связанных с безопасностью , или вывесить огромную табличку с надписью: «Вы не можете доверять нам свою личную информацию!»
Хороший крик, Оракул.
Репутация очень много значит. Это значит деньги. Исследование, проведенное в 2014 году, показало, что предприятия тратили в среднем 145 долларов США на каждую утечку данных в результате взлома данных, но когда популярный розничный продавец Target объявил, что кредитные карты 40 миллионов клиентов были взломаны, были взломаны в В 2013 году жертвы могли требовать до 10 000 долларов в качестве компенсации (хотя в целом это было значительно меньше). Это было в общей сложности 10 миллионов долларов.
Похоже, что у Target Corporation не было сильно поврежденных акций, хотя после прорыва цены упали. Возможно, на самом деле помогло то, что они раскрыли информацию, прежде чем они были обязаны по закону.
Тем не менее, это было рискованно. Дуглас Мил , адвокат Комиссии по ценным бумагам и биржам в марте прошлого года, сказал:
«[I] Если вы никогда не раскрываете нарушение, тогда у вас нет коллективных исков… Именно раскрытие нарушения создает огненную бурю судебных разбирательств… Компании думают, что делают правильные вещи, раскрывая, но вместо этого заканчивают рассматривается как проблема ».
Почему это может быть полезно для клиентов …
Вращение? Слишком много уведомлений означает панику клиентов ненужным беспокойством. Это, несомненно, хороший шаг для компаний, подверженных хакерским атакам, но он может быть хорошим и для вас.
На данный момент большая проблема с раскрытием информации в США — законы о разделении штатов. Соблюдение различных правил в разных штатах замедляет процесс фактического информирования людей о том, что произошло. Вместо того, чтобы прыгать через отдельные обручи, компаниям нужно будет только соблюдать решение FTC.
Критерии часто касаются; только как адвокат определяет, какие данные могут повлиять на клиентов? К счастью, они четко изложены в проекте Закона о защите данных и нарушениях данных 2015 года. Следует признать, что они подчеркивают важность защиты данных, касающихся национальной безопасности, но первый и второй пункты охватывают любые серьезные утечки.
Уведомления также должны быть быстрыми: если ваша личная финансовая информация была скомпрометирована, вам следует (как минимум, теоретически) сообщить об этом как можно скорее. Это будет означать больше времени, чтобы что-то с этим сделать! Чем быстрее вы действуете, тем меньше это должно повлиять на вас. Давайте возьмем британский бизнес в качестве примера того, чего не следует делать: Carphone Warehouse потребовалось три дня, чтобы объявить, что они стали жертвой «изощренной кибератакы». Может быть затронуто до 90 000 кредитных карт, хотя эти данные зашифрованы, поэтому риск снижается.
Для тех, кто пострадал от этого, Carphone Warehouse посоветовал клиентам, что делать , в том числе убедиться, что ваш банк отслеживает активность, и проверить ваш кредитный рейтинг. В дополнение к этим мерам вы должны также изменить пароли для этих конкретных учетных записей, а также для тех, для которых вы используете один и тот же пароль (и научиться создавать надежные создания ), и будьте осторожны с телефонными звонками, предупреждающими о мошеннической деятельности (особенно потому, что преступники часто могут держать линию открытой, поэтому вы перезваниваете их вместо своего банка).
Просмотрите список действий, которые необходимо предпринять, если вы стали жертвой мошенничества с кредитными картами. делать, если вы стали жертвой мошенничества с кредитными картами в Интернете? делать, если вы стали жертвой мошенничества с кредитными картами в и имейте в виду, что банки никогда не будут спрашивать вас в Интернете или по телефону.
Уведомления тоже могут стоить денег. Уведомление каждого клиента о каждом нарушении израсходует ресурсы. Да, обходить это было бы лучше для компаний, но это также означает, что они могут сосредоточиться на устранении потенциальных пробелов в своей безопасности и расследовании нарушений. Нужно видеть, что компании что-то предпринимают в отношении своих уязвимостей безопасности, пытаясь уменьшить ущерб своей репутации. Carphone Warehouse извинился и заблокировал доступ к сайтам, но пока они не предлагают деньги жертвам мошеннической деятельности.
Для лучшего или худшего?
Это еще не закон. Я не говорю, что это идеальная ситуация. Точно так же, это не должно быть так плохо, как кажется.
Клиенты впадают в панику — и это понятная реакция. Можете ли вы обвинить компании в том, что они хотят уменьшить это беспокойство … и нанести ущерб его репутации и финансам!
С другой стороны, если бизнес держит эти вещи в секрете, как вы можете им доверять? Чувствуете ли вы себя в безопасности, предоставляя им свою личную информацию? И они гарантируют вашу уверенность?
Авторы изображения: палец на губах Дина Дробота через Shutterstock, Security — Dictionary от American Advisors Group ; Carphone Warehouse bybyless ; и цель Майка Моцарта .