Det rapporterede Reuters den 6. februar at Consumer Financial Protection Bureau, et centralt agentur med ansvar for at føre tilsyn med finansiel virksomheder, forsømmer sin undersøgelse af Equifax-hacket, der kompromitterede de personlige oplysninger af millioner. CFPB har angiveligt undladt at udstede stævninger eller anmode om noget vidneudsagn - og har støttet samarbejdet med andre agenturer som Federal Reserve.
Desværre er dette ikke en chokerende begivenhed.
Desværre er dette ikke en chokerende begivenhed. Forskellige offentlige tilsynsmyndigheder har opkrævet bøder mod virksomheder, der lider sikkerhedsbrud i fortiden, og en håndfuld tidligere sikkerhedsfejl har faktisk kostet virksomhederne dyrt. De fleste overlever dog uskadt.
Relaterede
- En nul-dages Google Chrome-sikkerhedsfejl kræver, at du opdaterer nu
- WPA3, den tredje generation af Wi-Fi-sikkerhed, har en kæmpe fejl: dig
To uafhængige undersøgelser har bekræftet dette. En, udført af RAND Corporation, fandt ud af, at de fleste computerbrud koster en virksomhed omkring $200.000. Det er et lille tal, selv for en lille virksomhed med et par dusin ansatte. En anden undersøgelse fra Columbia University viste, at økonomiske omkostninger ved et cybersikkerhedsbrud er, i gennemsnit mindre end 0,1 procent af en Fortune 500-virksomheds årlige omsætning.
Hvor er pinden?
Moralen i dette er enkel – konsekvensen af et databrud er ofte ikke høj nok til at få virksomheder til at bekymre sig om sikkerheden.
Det er her, offentlige myndigheder som CFPB skal træde til. De kan lægge fingrene på vægten og bruge bøder til at sikre, at virksomheder ser reelle konsekvenser af deres manglende beskyttelse af forbrugerne. Tidligere har CFPB trådt ind i den rolle, selvom det normalt ikke har været en del af håndhævelseshandlinger, der stammer fra sikkerhedsbrud. Federal Trade Commission er også involveret i mange sager, men den opkræver også sjældent en bøde, der er stor nok til at have nogen reel konsekvens for de pågældende virksomheder.
Giver Equifax et pass? Administrationen bør komme på forbrugernes side og fokusere på at sikre hacks som #EquifaxBreach ikke ske igen. Min regning med @SenWarren ville være et godt sted at starte. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5. februar 2018
Regeringens tilsyn har en tendens til at være lemfældigt i USA, uanset spørgsmålet, men cybersikkerhed har regulatorer særligt irriteret. Det er normalt uklart, hvem der er bedst rustet til at håndtere en undersøgelse, og skaden forårsaget af kompromitterede data er ikke let at kvantificere.
I 2013 led Yahoo det største databrud, der endnu er registreret, og afslørede data om alle tre milliarder brugere. Hvilken straf er rimelig for hver enkelt eksponering? Betyder alvoren af datatabet noget? Hvordan kan de tab, som ofrene har lidt, overhovedet kvantificeres? Ingen synes at være enige, og endnu vigtigere er loven heller ikke enig. Det hjælper ikke, at nedfaldet for ofre også varierer. Mens nogle måske får deres kredit ødelagt eller deres skatter snydt, vil andre slet ikke blive skadet, og der er normalt ingen måde at forbinde specifikke brud med de problemer, som specifikke ofre lider.
Disse kompleksiteter giver virksomheder og andre organisationer en chance for at undvige ansvar med en sparsom undskyldning. Det er præcis, hvad Equifax gjorde i kølvandet på sit hack ved at tilbyde ofre gratis overvågning af identitetstyveri. Det er en rimelig og værdsat gestus, men den går ikke langt nok til at beskytte ofrene. Overvågning stopper ikke identitetstyveri for dig og refunderer ikke det, du har mistet. Det hjælper dig blot med at samle stykkerne af lidt hurtigere, end du ellers ville.
Daglige databrud behøver ikke at være uundgåelige
Der er kun én løsning på problemet. Vi har brug for nye, omfattende love, der holder virksomheder ansvarlige for sikkerhedsbrud.
Det Lov om beskyttelse af databrud og kompensation fra 2018 kunne være den lov. Lovforslaget blev introduceret til kongressen i januar af senator Elizabeth Warren fra Massachusetts og senator Mark Warner fra Virginia. etablerer et kontor for cybersikkerhed, som en del af FTC, som skal føre tilsyn med datasikkerheden i forbindelse med rapportering af store forbrugere agenturer. Dette nye kontor skal underrettes om ethvert brud inden for 10 dage; i øjeblikket venter virksomheder måneder eller endda år, før de afslører et problem.
I øjeblikket venter virksomheder måneder eller endda år, før de afslører et problem.
Specifikke sanktioner er også noteret, startende ved $100, hvis en forbrugers for- og efternavn er kompromitteret, sammen med mindst ét element med personligt identificerende oplysninger. Yderligere $50 er sat på for hver ekstra smule information, der er lækket. Selvom vi ikke ved præcis, hvad prisen på de bøder er baseret på, er det en bødeordning der ser ud til at tage ved lære af mobile datatjenester og internetudbydere, der tilføjer stejle sanktioner for data overskud. Endnu bedre, halvdelen af den indsamlede bøde ville blive givet tilbage til ofrene.
Disse straffe lægger op. Equifax' hack ville resultere i en bøde på omkring 1,5 milliarder dollars. Faktisk ville den samlede bøde være højere, men en bestemmelse i lovforslaget begrænser maksimum til en procentdel af en virksomheds omsætning. Equifax ville uden tvivl overleve sådan en bøde - dens årlige omsætning er trods alt 3,1 milliarder dollars - men den er stejl nok til at få enhver virksomhed til at tænke sig om to gange, før den slækker på cybersikkerhed.
Virksomheder har selvfølgelig protesteret mod lovforslaget, og det ser ikke ud til, at det vil bestå Kongressen. Alligevel er dette præcis den handling, der er nødvendig, og vi bør alle samles bag et skub for større ansvarlighed. Den næsten daglige forekomst af større sikkerhedsbrud giver masser af ammunition til denne kolonne. Men jeg ville være glad for at bruge lidt mere tid på at brainstorme emner, hvis det betød at ryste spektret af forestående identitetstyveri, som i øjeblikket hjemsøger os alle, uanset om vi ved det eller ej.
Redaktørens anbefalinger
- Zoom har lige rettet en større sikkerhedsfejl på Mac. Her er grunden til, at du skal opdatere nu
- Nvidia advarer ejere af dets GPU'er om en farlig sikkerhedssårbarhed
- Er din pc sikker? Foreskygge er den sikkerhedsbrist, Intel burde have forudset
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
