Informovala o tom 6. února agentura Reuters že Consumer Financial Protection Bureau, klíčová agentura odpovědná za finanční dohled společnosti, zanedbává vyšetřování hacku Equifax, který kompromitoval osobní údaje milionů. CFPB údajně nevydala žádná předvolání ani si nevyžádala svědectví – a ustoupila od spolupráce s jinými agenturami, jako je Federální rezervní systém.
Bohužel to není šokující zvrat událostí.
Bohužel to není šokující zvrat událostí. Různí vládní regulátoři uvalili pokuty na společnosti, které trpí narušení bezpečnosti v minulostia hrstka minulých selhání zabezpečení skutečně přišla společnosti draho. Většina však přežije bez úhony.
Příbuzný
- Chyba zabezpečení prohlížeče Google Chrome, která se objevila v nultém dni, vyžaduje aktualizaci hned
- WPA3, třetí generace zabezpečení Wi-Fi, má jednu obrovskou chybu: vás
Potvrdily to dvě nezávislé studie. Jeden,
vedená společností RAND Corporation, zjistili, že většina narušení počítačů stojí společnost kolem 200 000 USD. To je malé číslo, dokonce i pro malý podnik s několika desítkami zaměstnanců. Další studie z Kolumbijské univerzity zjistila, že finanční náklady na porušení kybernetické bezpečnosti jsou, v průměru méně než 0,1 procenta ročního příjmu společnosti z žebříčku Fortune 500.kde je hůl?
Morálka je jednoduchá – důsledek narušení dat často není dostatečně vysoký, aby se společnosti obávaly o bezpečnost.
To je místo, kde musí zasáhnout vládní agentury, jako je CFPB. Mohou položit prsty na váhu a pomocí pokut zajistit, aby společnosti viděly skutečné důsledky svého selhání při ochraně spotřebitelů. V minulosti do této role vstoupila CFPB, i když obvykle nebyla součástí donucovacích akcí, které vyplývají z narušení bezpečnosti. V mnoha případech je zapojena také Federální obchodní komise, ale také jen zřídka ukládá pokutu dostatečně vysokou na to, aby měla pro dotyčné společnosti nějaký skutečný následek.
Dáváte Equifax povolení? Správa by se měla dostat na stranu spotřebitelů a zaměřit se na zajištění takových hacků #EquifaxBreach už se to neopakuje. Můj účet s @SenWarren bylo by to dobré místo pro začátek. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5. února 2018
Vládní dohled má ve Spojených státech tendenci být laxní, bez ohledu na problém, ale kybernetická bezpečnost má regulační orgány obzvláště nepříjemné. Obvykle není jasné, kdo je nejlépe vybaven pro vedení vyšetřování, a škody způsobené kompromitovanými daty není snadné vyčíslit.
V roce 2013 utrpělo Yahoo největší dosud zaznamenaný únik dat a odhalila údaje o všech třech miliardách uživatelů. Jaký trest je spravedlivý za každé vystavení? Záleží na závažnosti ztráty dat? Jak lze vůbec vyčíslit ztráty, které oběti utrpěly? Zdá se, že nikdo nesouhlasí, a co je důležitější, nesouhlasí ani zákon. Nepomáhá, že dopad na oběti se také liší. Zatímco některým by mohl být zruinován kredit nebo podvody na daních, jiným to neublíží vůbec a obvykle neexistuje způsob, jak spojit konkrétní porušení s problémy, které utrpěly konkrétní oběti.
Tyto složitosti umožňují společnostem a dalším organizacím šanci vyhnout se odpovědnosti se skrovnou omluvou. To je přesně to, co společnost Equifax udělala po svém hacku tím, že obětem nabídla bezplatné sledování krádeže identity. Je to rozumné a oceňované gesto, ale nezachází dostatečně daleko, aby ochránilo oběti. Monitoring nezastaví krádež identity pro vás a nenahradí to, co jste ztratili. Pouze vám to pomůže sbírat kousky o něco rychleji, než byste jinak mohli.
Denní úniky dat nemusí být nevyhnutelné
Existuje pouze jedno řešení problému. Potřebujeme nové, komplexní zákony, které společnosti poženou k odpovědnosti za narušení bezpečnosti.
The Zákon o ochraně a kompenzaci porušení údajů z roku 2018 může být tím zákonem. Návrh zákona, který v lednu představili na kongresu senátorka Elizabeth Warrenová z Massachusetts a senátor Mark Warner z Virginie, zřizuje Úřad pro kybernetickou bezpečnost jako součást FTC, který by dohlížel na bezpečnost dat hlášení velkých spotřebitelů agentur. Tento nový úřad by musel být informován o jakémkoli porušení do 10 dnů; v současnosti společnosti čekají měsíce nebo dokonce roky, než problém odhalí.
V současné době společnosti čekají měsíce nebo dokonce roky, než odhalí problém.
Zaznamenány jsou také konkrétní sankce, počínaje 100 dolary v případě, že dojde ke kompromitaci jména a příjmení spotřebitele, spolu s alespoň jednou položkou osobních identifikačních údajů. Za každý další uniklý kousek informací se připisuje dalších 50 USD. I když přesně nevíme, na čem je cena těchto pokut založena, je to systém sankcí zdá se, že si bere ponaučení od mobilních datových služeb a poskytovatelů internetových služeb, kteří přidávají vysoké pokuty za data přebytky. Ještě lépe, polovina vybraného trestu by byla vrácena obětem.
Ty tresty se sčítají. Hack společnosti Equifax by měl za následek pokutu ve výši přibližně 1,5 miliardy dolarů. Ve skutečnosti by celková pokuta byla vyšší, ale ustanovení v návrhu zákona omezuje maximum na procento z příjmů společnosti. Společnost Equifax by takovou pokutu nepochybně přežila – její roční příjmy jsou koneckonců 3,1 miliardy dolarů – ale je to dost strmé na to, aby si každá společnost dvakrát rozmyslela, než bude kybernetické zabezpečení ochabovat.
Společnosti proti návrhu zákona samozřejmě protestovaly a nezdá se pravděpodobné, že by prošel Kongresem. Přesto je to přesně ta akce, která je potřeba, a všichni bychom se měli shromáždit za tlakem na větší odpovědnost. Téměř každodenní výskyt závažných narušení bezpečnosti poskytuje této koloně dostatek munice. Ale rád bych věnoval trochu více času brainstormingu témat, pokud by to znamenalo otřást spektrem hrozící krádeže identity, která nás všechny v současnosti pronásleduje, ať už to víme nebo ne.
Doporučení redakce
- Zoom právě opravil hlavní bezpečnostní chybu na Macu. Zde je důvod, proč byste měli aktualizovat nyní
- Nvidia varuje majitele svých GPU před nebezpečnou bezpečnostní chybou
- Je váš počítač bezpečný? Předzvěstí je bezpečnostní chyba, kterou měl Intel předvídat
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
