Reuters informó el 6 de febrero que la Oficina de Protección Financiera del Consumidor, una agencia clave responsable de supervisar las finanzas empresas, está descuidando su investigación sobre el hackeo de Equifax que comprometió la información personal de millones. Supuestamente, la CFPB no emitió ninguna citación ni solicitó testimonio alguno y se retractó de la cooperación con otras agencias como la Reserva Federal.
Lamentablemente, este no es un giro sorprendente de los acontecimientos.
Lamentablemente, este no es un giro sorprendente de los acontecimientos. Varios reguladores gubernamentales han impuesto multas a las empresas que sufren violaciones de seguridad en el pasado, y un puñado de fallas de seguridad pasadas le han costado muy caro a las empresas. La mayoría, sin embargo, sobrevive ilesa.
Relacionado
- Una falla de seguridad de día cero en Google Chrome requiere que actualices ahora
- WPA3, la tercera generación de seguridad Wi-Fi, tiene un gran defecto:
Dos estudios independientes lo han confirmado. Uno, realizado por la Corporación RAND, descubrió que la mayoría de las intrusiones informáticas le cuestan a una empresa alrededor de 200.000 dólares. Se trata de una cifra pequeña, incluso para una pequeña empresa con unas pocas docenas de empleados. Otro estudio de la Universidad de Columbia encontró que el El costo financiero de una violación de la seguridad cibernética es, en promedio, menos del 0,1 por ciento de los ingresos anuales de una empresa Fortune 500.
¿Dónde está el palo?
La moraleja de esto es simple: las consecuencias de una violación de datos a menudo no son lo suficientemente graves como para que las empresas se preocupen por la seguridad.
Ahí es donde deben intervenir agencias gubernamentales como la CFPB. Pueden poner el dedo en la balanza, utilizando multas para asegurarse de que las empresas vean las consecuencias reales de su falta de protección a los consumidores. En el pasado, la CFPB asumió ese papel, aunque por lo general no ha sido parte de las acciones de cumplimiento que surgen de violaciones de seguridad. La Comisión Federal de Comercio también participa en muchos casos, pero rara vez impone una multa lo suficientemente grande como para plantear consecuencias reales para las empresas en cuestión.
¿Darle un pase a Equifax? La Administración debería ponerse del lado de los consumidores y centrarse en garantizar que hacks como el #Incumplimiento de Equifax no vuelva a suceder. mi factura con @SenWarren Sería un buen punto de partida. https://t.co/iJ4neRvjut
—Mark Warner (@MarkWarner) 5 de febrero de 2018
La supervisión gubernamental tiende a ser laxa en Estados Unidos, sin importar el tema, pero la seguridad cibernética tiene a los reguladores particularmente molestos. Generalmente no está claro quién está mejor equipado para manejar una investigación y el daño causado por los datos comprometidos no es fácil de cuantificar.
En 2013, Yahoo sufrió la mayor filtración de datos jamás registrada, exponiendo datos de sus tres mil millones de usuarios. ¿Qué castigo es justo para cada exposición? ¿Importa la gravedad de la pérdida de datos? ¿Cómo pueden siquiera cuantificarse las pérdidas sufridas por las víctimas? Nadie parece estar de acuerdo y, lo que es más importante, la ley tampoco está de acuerdo. No ayuda que las consecuencias para las víctimas también varíen. Si bien es posible que a algunos se les arruine el crédito o se les defrauden los impuestos, otros no sufrirán ningún daño y, por lo general, no hay forma de vincular violaciones específicas con los problemas sufridos por víctimas específicas.
Estas complejidades brindan a las empresas y otras organizaciones la oportunidad de eludir la responsabilidad con una escasa disculpa. Eso es exactamente lo que hizo Equifax tras su ataque al ofrecer a las víctimas un seguimiento gratuito del robo de identidad. Es un gesto razonable y apreciado, pero no llega lo suficientemente lejos para proteger a las víctimas. El monitoreo no detiene el robo de identidad y no reembolsa lo que ha perdido. Simplemente te ayuda a recoger los pedazos un poco más rápido de lo que lo harías de otra manera.
Las violaciones de datos diarias no tienen por qué ser inevitables
Sólo hay una solución al problema. Necesitamos leyes nuevas e integrales que responsabilicen a las empresas por las violaciones de seguridad.
El Ley de Compensación y Protección contra Violaciones de Datos de 2018 podría ser esa ley. Presentado al Congreso en enero por la senadora Elizabeth Warren de Massachusetts y el senador Mark Warner de Virginia, el proyecto de ley establece una Oficina de Ciberseguridad, como parte de la FTC, que supervisaría la seguridad de los datos de los grandes consumidores que informan agencias. Esta nueva oficina tendría que ser notificada de cualquier incumplimiento en un plazo de 10 días; Actualmente, las empresas esperan meses o incluso años antes de revelar un problema.
Actualmente, las empresas esperan meses o incluso años antes de revelar un problema.
También se señalan sanciones específicas, a partir de $100 si el nombre y apellido de un consumidor se ven comprometidos, junto con al menos un elemento de información de identificación personal. Se añaden 50 dólares adicionales por cada información adicional que se filtre. Aunque no sabemos exactamente en qué se basa el precio de esas multas, se trata de un esquema sancionador. eso parece aprender de los servicios de datos móviles y de los ISP que añaden fuertes penalizaciones por los datos excedentes. Mejor aún, la mitad de la pena cobrada se devolvería a las víctimas.
Esas sanciones se suman. El hackeo de Equifax resultaría en una multa de alrededor de 1.500 millones de dólares. De hecho, la multa total sería mayor, pero una disposición del proyecto de ley limita el máximo a un porcentaje de los ingresos de una empresa. Sin duda, Equifax sobreviviría a una multa de este tipo (después de todo, sus ingresos anuales son de 3.100 millones de dólares), pero es lo suficientemente elevada como para hacer que cualquier empresa se lo piense dos veces antes de descuidar la seguridad cibernética.
Las empresas han protestado contra el proyecto de ley, por supuesto, y no parece probable que sea aprobado por el Congreso. Sin embargo, esta es exactamente la acción que se necesita, y todos deberíamos unirnos para impulsar una mayor rendición de cuentas. La ocurrencia casi diaria de importantes violaciones de seguridad proporciona mucha munición para esta columna. Pero me encantaría dedicar un poco más de tiempo a pensar en temas si eso significara sacudir el espectro del inminente robo de identidad que actualmente nos persigue a todos, lo sepamos o no.
Recomendaciones de los editores
- Zoom acaba de solucionar un importante fallo de seguridad en Mac. He aquí por qué deberías actualizar ahora
- Nvidia advierte a los propietarios de sus GPU sobre una peligrosa vulnerabilidad de seguridad
- ¿Tu PC es segura? Un presagio es la falla de seguridad que Intel debería haber predicho
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
