Ройтерс съобщи на 6 февруари че Бюрото за финансова защита на потребителите, ключова агенция, отговорна за надзора на финансовите компании, пренебрегва разследването си на хака на Equifax, който компрометира личната информация на милиони. Твърди се, че CFPB не е успяла да издаде никакви призовки или да поиска каквито и да е свидетелства - и се е отказала от сътрудничеството с други агенции като Федералния резерв.
За съжаление, това не е шокиращ обрат на събитията.
За съжаление, това не е шокиращ обрат на събитията. Различни държавни регулатори са наложили глоби на компаниите, които страдат нарушения на сигурността в миналото, и няколко минали провали в сигурността наистина са стрували скъпо на компаниите. Повечето обаче оцеляват невредими.
Свързани
- Пропуск в сигурността на Google Chrome от нулев ден изисква да актуализирате сега
- WPA3, третото поколение Wi-Fi сигурност, има един огромен недостатък: Вие
Две независими изследвания потвърдиха това. едно, проведено от RAND Corporation, установи, че повечето компютърни пробиви струват на компания около 200 000 долара. Това е малка цифра, дори за малък бизнес с няколко десетки служители. Друго проучване от Колумбийския университет установи, че финансовата цена на пробив в киберсигурността е, средно по-малко от 0,1 процента от годишните приходи на компания от Fortune 500.
Къде е пръчката?
Моралът на това е прост – последствията от нарушение на данните често не са достатъчно високи, за да накарат компаниите да се тревожат за сигурността.
Това е мястото, където трябва да се намесят правителствени агенции като CFPB. Те могат да сложат пръстите си на везните, като използват глоби, за да се уверят, че компаниите виждат реални последици от неуспеха си да защитят потребителите. В миналото CFPB е влизал в тази роля, въпреки че обикновено не е бил част от действия по прилагане, които произтичат от пробиви в сигурността. Федералната търговска комисия също участва в много случаи, но тя също рядко налага глоба, достатъчно голяма, за да има реални последици за въпросните компании.
Предоставяне на пропуск на Equifax? Администрацията трябва да застане на страната на потребителите и да се съсредоточи върху осигуряването на хакове като #EquifaxBreach да не се повтори Моята сметка с @SenWarren би било добро място за начало. https://t.co/iJ4neRvjut
— Марк Уорнър (@MarkWarner) 5 февруари 2018 г
Правителственият надзор обикновено е слаб в Съединените щати, независимо от проблема, но киберсигурността предизвиква особено раздразнение от регулаторите. Обикновено не е ясно кой е най-добре подготвен да се справи с разследване, а щетите, причинени от компрометирани данни, не са лесни за количествено определяне.
През 2013 г. Yahoo претърпя най-голямото нарушение на данните, регистрирано досега, разкривайки данни за всичките три милиарда потребители. Какво наказание е справедливо за всяко излагане? Има ли значение сериозността на загубата на данни? Как дори могат да бъдат количествено определени загубите, понесени от жертвите? Изглежда никой не е съгласен и, което е по-важно, законът също не е съгласен. Не помага, че последиците за жертвите също варират. Докато на някои може да бъде съсипан кредитът им или данъците им да бъдат измамени, други изобщо няма да бъдат ощетени и обикновено няма начин да се свържат конкретни нарушения с проблемите, понесени от конкретни жертви.
Тези усложнения позволяват на компаниите и другите организации да избегнат отговорността с оскъдно извинение. Точно това направи Equifax след хакването си, като предложи на жертвите безплатно наблюдение на кражба на самоличност. Това е разумен и оценен жест, но не стига достатъчно далеч, за да защити жертвите. Наблюдението не спира кражбата на самоличност за вас и не възстановява това, което сте загубили. То просто ви помага да вземете парчетата малко по-бързо, отколкото бихте могли иначе.
Ежедневните нарушения на данните не трябва да са неизбежни
Има само едно решение на проблема. Имаме нужда от нови, всеобхватни закони, които да държат компаниите отговорни за нарушения на сигурността.
The Закон за защита при нарушаване на данните и обезщетение от 2018 г може да е този закон. Внесен в Конгреса през януари от сенатор Елизабет Уорън от Масачузетс и сенатор Марк Уорнър от Вирджиния, законопроектът създава Служба за киберсигурност, като част от Федералната търговска комисия, която ще контролира сигурността на данните на големи потребителски отчети агенции. Този нов офис ще трябва да бъде уведомен за всяко нарушение в рамките на 10 дни; в момента компаниите чакат месеци или дори години, преди да разкрият проблем.
В момента компаниите чакат месеци или дори години, преди да разкрият проблем.
Отбелязани са и конкретни санкции, започващи от $100, ако името и фамилията на потребителя са компрометирани, заедно с поне един елемент от лична информация. Допълнителни $50 се начисляват за всяка допълнителна изтекла информация. Въпреки че не знаем точно на какво се основава цената на тези глоби, това е схема за наказания това изглежда взема поуки от услугите за мобилни данни и интернет доставчиците, които добавят високи санкции за данни излишъци. Още по-добре, половината от събраната санкция ще бъде върната на жертвите.
Тези наказания се събират. Хакването на Equifax би довело до глоба от около 1,5 милиарда долара. Всъщност общата глоба би била по-висока, но разпоредба в законопроекта ограничава максимума до процент от приходите на компанията. Equifax без съмнение ще оцелее след такава глоба - все пак годишният й приход е 3,1 милиарда долара - но е достатъчно стръмен, за да накара всяка компания да се замисли, преди да се отпусне по отношение на киберсигурността.
Компаниите протестираха срещу законопроекта, разбира се, и не изглежда вероятно да мине в Конгреса. И все пак това е точно действието, което е необходимо, и всички ние трябва да се обединим зад натиска за по-голяма отчетност. Почти ежедневната поява на големи пробиви в сигурността осигурява много амуниции за тази колона. Но ще се радвам да прекарам малко повече време в мозъчна атака по теми, ако това означаваше разклащане на спектъра на предстоящата кражба на самоличност, която в момента преследва всички ни, независимо дали го знаем или не.
Препоръки на редакторите
- Zoom току-що поправи основен пропуск в сигурността на Mac. Ето защо трябва да актуализирате сега
- Nvidia предупреждава собствениците на своите графични процесори за опасна уязвимост в сигурността
- Вашият компютър безопасен ли е? Foreshadow е пропускът в сигурността, който Intel трябваше да предвиди
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
