ذكرت رويترز في 6 فبراير أن مكتب حماية المستهلك المالية، وهي وكالة رئيسية مسؤولة عن الإشراف المالي تتجاهل الشركات تحقيقاتها في اختراق Equifax الذي أدى إلى تعرض المعلومات الشخصية للخطر الملايين. يُزعم أن CFPB فشل في إصدار أي مذكرات استدعاء أو طلب أي شهادة – وتراجع عن التعاون مع وكالات أخرى مثل الاحتياطي الفيدرالي.
ومن المؤسف أن هذا ليس تحولا صادما للأحداث.
ومن المؤسف أن هذا ليس تحولا صادما للأحداث. فرضت الهيئات التنظيمية الحكومية المختلفة غرامات على الشركات التي تعاني الخروقات الأمنية في الماضي، وقد كلفت مجموعة من الإخفاقات الأمنية الماضية الشركات غالياً بالفعل. ومع ذلك، فإن معظمهم يبقون على قيد الحياة دون أن يصابوا بأذى.
متعلق ب
- يتطلب ثغرة أمنية في Google Chrome التحديث الآن
- WPA3، الجيل الثالث من أمان Wi-Fi، به عيب كبير: أنت
وقد أكدت دراستان مستقلتان ذلك. واحد، أجرتها مؤسسة RANDوجدت أن معظم خروقات الكمبيوتر تكلف الشركة حوالي 200 ألف دولار. وهذا رقم صغير، حتى بالنسبة لشركة صغيرة تضم بضع عشرات من الموظفين. وجدت دراسة أخرى من جامعة كولومبيا أن
التكلفة المالية لخرق الأمن السيبراني هيفي المتوسط، أقل من 0.1% من الإيرادات السنوية لشركة Fortune 500.أين العصا؟
المغزى من ذلك بسيط، فعواقب خرق البيانات في كثير من الأحيان لا تكون عالية بما يكفي لجعل الشركات تقلق بشأن الأمن.
هذا هو المكان الذي تحتاج فيه الوكالات الحكومية مثل CFPB إلى التدخل. ويمكنهم وضع أصابعهم على الميزان، واستخدام الغرامات للتأكد من أن الشركات ترى عواقب حقيقية نتيجة لفشلها في حماية المستهلكين. في الماضي، تولى CFPB هذا الدور، على الرغم من أنه لم يكن عادةً جزءًا من إجراءات الإنفاذ التي تنبع من الخروقات الأمنية. وتشارك لجنة التجارة الفيدرالية أيضًا في العديد من الحالات، لكنها نادرًا ما تفرض غرامة كبيرة بما يكفي لتشكل أي عواقب حقيقية على الشركات المعنية.
إعطاء Equifax تمريرة؟ يجب على الإدارة الوقوف إلى جانب المستهلكين والتركيز على التأكد من الاختراقات مثل #EquifaxBreach لا يحدث مرة أخرى. فاتورتي مع @ سين وارن سيكون مكانًا جيدًا للبدء. https://t.co/iJ4neRvjut
– مارك وارنر (@MarkWarner) 5 فبراير 2018
تميل الرقابة الحكومية إلى التراخي في الولايات المتحدة، بغض النظر عن القضية، لكن الأمن السيبراني يثير حفيظة المنظمين بشكل خاص. عادةً ما يكون من غير الواضح من هو الأفضل تجهيزًا للتعامل مع التحقيق، كما أن الضرر الناجم عن البيانات المخترقة ليس من السهل قياسه كميًا.
في عام 2013، تعرضت شركة ياهو لأكبر خرق للبيانات تم تسجيله حتى الآن، مما أدى إلى الكشف عن بيانات جميع المستخدمين الثلاثة مليارات. ما هي العقوبة العادلة لكل تعرض؟ هل خطورة فقدان البيانات مهمة؟ فكيف يمكن قياس الخسائر التي تكبدها الضحايا؟ ويبدو أن لا أحد يوافق على ذلك، والأهم من ذلك أن القانون لا يوافق أيضًا. وما لا يساعد هو أن التداعيات بالنسبة للضحايا تختلف أيضًا. في حين أن البعض قد يتم تدمير ائتمانهم أو الاحتيال على ضرائبهم، فإن البعض الآخر لن يتضرر على الإطلاق، وعادة لا توجد طريقة لربط انتهاكات معينة بالمشاكل التي يعاني منها ضحايا محددون.
تتيح هذه التعقيدات للشركات والمنظمات الأخرى فرصة للتهرب من المسؤولية باعتذار بسيط. وهذا بالضبط ما فعلته شركة Equifax في أعقاب اختراقها من خلال تقديم مراقبة مجانية لسرقة الهوية للضحايا. إنها لفتة معقولة ومقدرة، لكنها لا تكفي لحماية الضحايا. المراقبة لا تمنع سرقة هويتك ولا تعوض ما فقدته. إنه يساعدك فقط على التقاط القطع بسرعة أكبر قليلاً مما قد تفعله بطريقة أخرى.
لا يجب أن تكون خروقات البيانات اليومية أمرًا لا مفر منه
هناك حل واحد فقط للمشكلة. نحن بحاجة إلى قوانين جديدة وشاملة تجعل الشركات مسؤولة عن الانتهاكات الأمنية.
ال قانون حماية خرق البيانات والتعويض لعام 2018 يمكن أن يكون هذا القانون. تم تقديم مشروع القانون إلى الكونجرس في يناير من قبل السيناتور إليزابيث وارين من ماساتشوستس والسيناتور مارك وارنر من فرجينيا. تنشئ مكتبًا للأمن السيبراني، كجزء من لجنة التجارة الفيدرالية (FTC)، والذي سيشرف على أمن البيانات الخاصة بتقارير المستهلكين الكبار الوكالات. ويجب إخطار هذا المكتب الجديد بأي خرق خلال 10 أيام؛ في الوقت الحالي، تنتظر الشركات أشهرًا أو حتى سنوات قبل الكشف عن المشكلة.
في الوقت الحالي، تنتظر الشركات أشهرًا أو حتى سنوات قبل الكشف عن المشكلة.
تمت الإشارة أيضًا إلى عقوبات محددة، تبدأ من 100 دولار في حالة اختراق الاسم الأول والأخير للمستهلك، بالإضافة إلى عنصر واحد على الأقل من معلومات التعريف الشخصية. يتم فرض مبلغ إضافي قدره 50 دولارًا مقابل كل جزء إضافي من المعلومات المسربة. على الرغم من أننا لا نعرف بالضبط على أساس سعر تلك الغرامات، إلا أنها مجرد خطة جزائية يبدو أن هذا يأخذ دروسًا من خدمات البيانات المتنقلة ومزودي خدمات الإنترنت الذين يضيفون عقوبات شديدة على البيانات الزائد. والأفضل من ذلك، أن نصف العقوبة التي تم جمعها سوف تعاد إلى الضحايا.
هذه العقوبات تضيف ما يصل. سيؤدي اختراق Equifax إلى غرامة قدرها حوالي 1.5 مليار دولار. في الواقع، سيكون إجمالي الغرامة أعلى، ولكن هناك بند في مشروع القانون يحد من الحد الأقصى بنسبة مئوية من إيرادات الشركة. لا شك أن شركة Equifax ستنجو من مثل هذه الغرامة - حيث تبلغ إيراداتها السنوية 3.1 مليار دولار، على أية حال - لكنها باهظة بما يكفي لجعل أي شركة تفكر مرتين قبل التراخي في مجال الأمن السيبراني.
وقد احتجت الشركات على مشروع القانون بطبيعة الحال، ولا يبدو من المرجح أن يوافق عليه الكونجرس. ومع ذلك، فإن هذا هو على وجه التحديد الإجراء المطلوب، ويتعين علينا جميعا أن نحتشد وراء الدفع نحو قدر أكبر من المساءلة. يوفر حدوث الخروقات الأمنية الكبرى بشكل شبه يومي الكثير من الذخيرة لهذا العمود. لكنني سأكون سعيدًا بقضاء المزيد من الوقت في تبادل الأفكار حول المواضيع إذا كان ذلك يعني زعزعة أطياف سرقة الهوية الوشيكة التي تطاردنا جميعًا حاليًا، سواء كنا نعرف ذلك أم لا.
توصيات المحررين
- قام Zoom للتو بإصلاح ثغرة أمنية كبيرة على نظام Mac. لهذا السبب يجب عليك التحديث الآن
- تحذر Nvidia مالكي وحدات معالجة الرسومات الخاصة بها من ثغرة أمنية خطيرة
- هل جهاز الكمبيوتر الخاص بك آمن؟ Foreshadow هو الخلل الأمني الذي كان ينبغي لشركة Intel توقعه
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
