Reuters berichtete am 6. Februar dass das Consumer Financial Protection Bureau eine wichtige Behörde ist, die für die Überwachung der Finanzen zuständig ist Unternehmen, vernachlässigt seine Untersuchung des Equifax-Hacks, der die persönlichen Daten kompromittiert hat von Millionen. Die CFPB hat es angeblich versäumt, Vorladungen auszustellen oder Zeugenaussagen einzufordern – und hat die Zusammenarbeit mit anderen Behörden wie der Federal Reserve eingestellt.
Leider ist dies keine schockierende Wendung der Ereignisse.
Leider ist dies keine schockierende Wendung der Ereignisse. Verschiedene staatliche Regulierungsbehörden haben Bußgelder gegen betroffene Unternehmen verhängt Sicherheitsverstöße in der Vergangenheit, und eine Handvoll früherer Sicherheitsmängel haben Unternehmen tatsächlich viel Geld gekostet. Die meisten überleben jedoch unbeschadet.
Verwandt
- Eine Zero-Day-Sicherheitslücke in Google Chrome erfordert ein sofortiges Update
- WPA3, die dritte Generation der Wi-Fi-Sicherheit, hat einen großen Fehler: Sie
Zwei unabhängige Studien haben dies bestätigt. Eins, durchgeführt von der RAND Corporation, fanden heraus, dass die meisten Computerverstöße ein Unternehmen etwa 200.000 US-Dollar kosten. Das ist selbst für ein kleines Unternehmen mit ein paar Dutzend Mitarbeitern eine kleine Zahl. Eine andere Studie der Columbia University ergab, dass die Die finanziellen Kosten einer Cyber-Sicherheitsverletzung betragenIm Durchschnitt weniger als 0,1 Prozent des Jahresumsatzes eines Fortune-500-Unternehmens.
Wo ist der Stock?
Die Moral dahinter ist einfach: Die Folgen einer Datenschutzverletzung sind oft nicht so hoch, dass Unternehmen sich Sorgen um die Sicherheit machen müssen.
Hier müssen Regierungsbehörden wie die CFPB eingreifen. Sie können den Finger in die Waagschale legen und mit Bußgeldern sicherstellen, dass Unternehmen echte Konsequenzen aus ihrem Versäumnis, Verbraucher zu schützen, erkennen. In der Vergangenheit hat die CFPB diese Rolle übernommen, obwohl sie normalerweise nicht an Durchsetzungsmaßnahmen beteiligt war, die auf Sicherheitsverstöße zurückzuführen sind. In vielen Fällen ist auch die Federal Trade Commission beteiligt, doch auch sie verhängt selten ein Bußgeld, das so hoch ist, dass es für die betreffenden Unternehmen echte Konsequenzen nach sich zieht.
Equifax einen Pass geben? Die Verwaltung sollte sich auf die Seite der Verbraucher stellen und sich darauf konzentrieren, sicherzustellen, dass Hacks wie der #EquifaxBreach passiert nicht noch einmal. Meine Rechnung mit @SenWarren wäre ein guter Anfang. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5. Februar 2018
Die staatliche Aufsicht ist in den Vereinigten Staaten tendenziell lax, egal um welches Thema es sich handelt, aber die Cybersicherheit bereitet den Regulierungsbehörden besonders Ärger. Es ist in der Regel unklar, wer am besten für die Durchführung einer Untersuchung gerüstet ist, und der durch kompromittierte Daten verursachte Schaden lässt sich nicht leicht beziffern.
Im Jahr 2013 erlitt Yahoo den bislang größten Datenverstoß, bei dem Daten aller drei Milliarden Nutzer offengelegt wurden. Welche Strafe ist für jede Enthüllung gerecht? Spielt die Schwere des Datenverlusts eine Rolle? Wie lassen sich die Verluste der Opfer überhaupt beziffern? Niemand scheint damit einverstanden zu sein, und was noch wichtiger ist, das Gesetz stimmt auch nicht zu. Es hilft nicht, dass auch die Folgen für die Opfer unterschiedlich sind. Während bei manchen die Kreditwürdigkeit ruiniert oder die Steuern hinterzogen werden, entsteht bei anderen kein Schaden, und es gibt in der Regel keine Möglichkeit, bestimmte Verstöße mit den Problemen bestimmter Opfer in Verbindung zu bringen.
Diese Komplexität bietet Unternehmen und anderen Organisationen die Möglichkeit, sich mit einer dürftigen Entschuldigung der Verantwortung zu entziehen. Genau das hat Equifax nach seinem Hack getan, indem es den Opfern eine kostenlose Überwachung von Identitätsdiebstahl anbot. Es ist eine vernünftige und geschätzte Geste, aber sie geht nicht weit genug, um die Opfer zu schützen. Durch die Überwachung wird der Identitätsdiebstahl für Sie nicht gestoppt und der Verlust wird Ihnen nicht erstattet. Es hilft Ihnen lediglich, die Einzelteile etwas schneller zu verstehen, als Sie es sonst könnten.
Tägliche Datenschutzverletzungen müssen nicht unvermeidlich sein
Es gibt nur eine Lösung für das Problem. Wir brauchen neue, umfassende Gesetze, die Unternehmen für Sicherheitsverstöße zur Verantwortung ziehen.
Der Datenschutz- und Entschädigungsgesetz von 2018 könnte dieses Gesetz sein. Der Gesetzentwurf wurde im Januar von Senatorin Elizabeth Warren aus Massachusetts und Senator Mark Warner aus Virginia dem Kongress vorgelegt richtet als Teil der FTC ein Büro für Cybersicherheit ein, das die Datensicherheit der Großverbraucherberichterstattung überwacht Agenturen. Diesem neuen Amt müsste jeder Verstoß innerhalb von 10 Tagen mitgeteilt werden; Derzeit warten Unternehmen Monate oder sogar Jahre, bevor sie ein Problem offenlegen.
Derzeit warten Unternehmen Monate oder sogar Jahre, bevor sie ein Problem offenlegen.
Es werden auch spezifische Strafen verhängt, die bei 100 US-Dollar beginnen, wenn der Vor- und Nachname eines Verbrauchers sowie mindestens eine persönliche Identifikationsinformation kompromittiert werden. Für jede weitere durchgesickerte Information werden zusätzlich 50 US-Dollar berechnet. Obwohl wir nicht genau wissen, worauf die Höhe dieser Geldbußen beruht, handelt es sich um ein Strafsystem Dies scheint Lehren aus mobilen Datendiensten und ISPs zu ziehen, die hohe Strafen für Daten verhängen Überschreitungen. Besser noch, die Hälfte der eingenommenen Strafe würde den Opfern zurückerstattet.
Diese Strafen summieren sich. Der Hack von Equifax würde zu einer Strafe von etwa 1,5 Milliarden Dollar führen. Tatsächlich wäre die Gesamtstrafe höher, aber eine Bestimmung im Gesetzentwurf begrenzt den Höchstbetrag auf einen Prozentsatz des Umsatzes eines Unternehmens. Equifax würde eine solche Strafe zweifellos überstehen – sein Jahresumsatz liegt immerhin bei 3,1 Milliarden US-Dollar –, aber die Strafe ist so hoch, dass jedes Unternehmen zweimal überlegen muss, ob es bei der Cybersicherheit nachlässt.
Natürlich haben Unternehmen gegen den Gesetzentwurf protestiert, und es ist unwahrscheinlich, dass er vom Kongress verabschiedet wird. Doch genau das ist der Handlungsbedarf, und wir alle sollten uns für eine stärkere Rechenschaftspflicht einsetzen. Das nahezu tägliche Auftreten schwerwiegender Sicherheitsverstöße liefert reichlich Anlass für diese Kolumne. Aber ich würde gerne etwas mehr Zeit mit dem Brainstorming von Themen verbringen, wenn es darum geht, die Spektren des drohenden Identitätsdiebstahls aufzurütteln, der uns derzeit alle verfolgt, ob wir es wissen oder nicht.
Empfehlungen der Redaktion
- Zoom hat gerade eine große Sicherheitslücke auf dem Mac behoben. Deshalb sollten Sie jetzt aktualisieren
- Nvidia warnt Besitzer seiner GPUs vor einer gefährlichen Sicherheitslücke
- Ist Ihr PC sicher? Der Vorbote ist die Sicherheitslücke, die Intel hätte vorhersagen müssen
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
