Reuters teatas 6. veebruaril et tarbijate finantskaitse büroo, mis on finantsjärelevalve eest vastutav võtmeasutus ettevõtted, eirab isikuandmeid ohustanud Equifaxi häkkimise uurimist miljonitest. Väidetavalt ei ole CFPB suutnud väljastada kohtukutse ega nõuda ütlusi – ning on loobunud koostööst teiste agentuuridega, nagu Föderaalreserv.
Kahjuks pole see sündmuste šokeeriv käik.
Kahjuks pole see sündmuste šokeeriv käik. Erinevad valitsuse reguleerivad asutused on määranud trahve kannatanud ettevõtetele turvarikkumisi minevikus, ja käputäis varasemaid turbetõrkeid on ettevõtetele tõepoolest kalliks maksma läinud. Enamik jääb siiski terveks.
Seotud
- Google Chrome'i nullpäevane turvaviga nõuab kohe värskendamist
- Kolmanda põlvkonna Wi-Fi turvalisusel WPA3-l on üks hiiglaslik viga: teie
Kaks sõltumatut uuringut on seda kinnitanud. üks, läbi RAND Corporation, leidis, et enamik arvutiga seotud rikkumisi läheb ettevõttele maksma umbes 200 000 dollarit. See on väike arv isegi mõnekümne töötajaga väikeettevõtte jaoks. Teine Columbia ülikooli uuring näitas, et
on küberturvalisuse rikkumise rahaline kulu, keskmiselt vähem kui 0,1 protsenti Fortune 500 ettevõtte aastatulust.Kus pulk on?
Selle moraal on lihtne – andmetega seotud rikkumise tagajärjed ei ole sageli piisavalt suured, et panna ettevõtted turvalisuse pärast muretsema.
See on koht, kus valitsusasutused, nagu CFPB, peavad sekkuma. Nad saavad näpud kaalule panna, kasutades trahve tagamaks, et ettevõtted näevad tarbijate kaitsmata jätmise tegelikke tagajärgi. Varem on CFPB sellesse rolli astunud, kuigi tavaliselt ei ole see olnud osa turvarikkumistest tulenevates täitetoimingutes. Paljudel juhtudel on kaasatud ka Föderaalne Kaubanduskomisjon, kuid ka see määrab harva trahvi, mis on piisavalt suur, et tekitada kõnealuste ettevõtete jaoks tegelikke tagajärgi.
Kas anda Equifaxile pääse? Administratsioon peaks asuma tarbijate poolele ja keskenduma sellele, et sellised häkkimised oleksid tagatud #EquifaxBreach ära kordu. Minu arve koos @SenWarren oleks hea koht alustamiseks. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5. veebruar 2018
Valitsuse järelevalve kipub Ameerika Ühendriikides olema leebe, olenemata probleemist, kuid küberturvalisus on reguleerivad asutused eriti nördinud. Tavaliselt on ebaselge, kes on uurimise läbiviimiseks kõige paremini varustatud, ja rikutud andmete põhjustatud kahju pole lihtne kvantifitseerida.
2013. aastal kannatas Yahoo suurim seni registreeritud andmerikkumine, mis paljastas kõigi kolme miljardi kasutaja andmed. Milline karistus on õiglane iga kokkupuute eest? Kas andmete kadumise raskus on oluline? Kuidas saab ohvrite kantud kahjusid üldse mõõta? Tundub, et keegi ei nõustu ja, mis veelgi olulisem, seadus pole sellega nõus. See ei aita, et ohvrite mõju on samuti erinev. Kuigi mõnel võib krediit rikutud või maksud välja petta, ei saa teised sellest üldse kahju ja tavaliselt ei saa konkreetseid rikkumisi konkreetsete ohvrite probleemidega seostada.
Need keerukused annavad ettevõtetele ja teistele organisatsioonidele võimaluse vastutuse eest kõrvale hiilida vähese vabandusega. Just seda tegi Equifax oma häkkimise järel, pakkudes ohvritele tasuta identiteedivarguse jälgimist. See on mõistlik ja tänuväärne žest, kuid see ei lähe ohvrite kaitsmiseks piisavalt kaugele. Järelevalve ei peata teie jaoks identiteedivargust ega hüvita seda, mida olete kaotanud. See lihtsalt aitab teil tükke kiiremini üles korjata kui muidu.
Igapäevased andmetega seotud rikkumised ei pea olema vältimatud
Probleemile on ainult üks lahendus. Vajame uusi kõikehõlmavaid seadusi, mis panevad ettevõtted turvarikkumiste eest vastutama.
The 2018. aasta andmerikkumiste kaitse ja hüvitamise seadus see võiks olla seadus. Eelnõu tutvustasid jaanuaris kongressile Massachusettsi senaator Elizabeth Warren ja Virginia senaator Mark Warner. asutab FTC osana küberturvalisuse büroo, mis teostaks järelevalvet suurtarbijate aruandluse andmeturbe üle agentuurid. Seda uut kontorit tuleks teavitada igast rikkumisest 10 päeva jooksul; praegu ootavad ettevõtted kuid või isegi aastaid, enne kui probleemi avalikustavad.
Praegu ootavad ettevõtted kuid või isegi aastaid, enne kui probleemi avalikustavad.
Märgitakse ka konkreetseid karistusi, mis algavad 100 dollarist, kui tarbija ees- ja perekonnanimi on ohus, koos vähemalt ühe isikut tuvastava teabega. Iga täiendava lekkinud teabe eest makstakse täiendavalt 50 dollarit. Kuigi me ei tea täpselt, millel nende trahvide hind põhineb, on see karistusskeem see näib võtvat õppust mobiilsetelt andmesideteenustelt ja Interneti-teenuse pakkujatelt, mis lisavad andmeside eest suuri trahve üleealised. Veelgi parem, kui pool kogutud trahvist saaks kannatanutele tagasi.
Need karistused liidetakse kokku. Equifaxi häkkimine tooks kaasa umbes 1,5 miljardi dollari suuruse trahvi. Tegelikult oleks trahvi kogusumma suurem, kuid seaduseelnõu säte piirab maksimumi protsendiga ettevõtte tuludest. Kahtlemata elaks Equifax sellise trahvi üle – tema aastane tulu on lõppude lõpuks 3,1 miljardit dollarit –, kuid see on piisavalt suur, et panna iga ettevõtet enne küberturvalisusele lõdvema hakkamist mõtlema.
Ettevõtted on loomulikult eelnõu vastu protestinud ja ei tundu tõenäoline, et see kongress läbi läheb. Ometi on just see tegevus, mida vaja on ja me kõik peaksime kogunema suurema vastutuse poole. Peaaegu igapäevased suuremad turvarikkumised pakuvad selle veeru jaoks palju laskemoona. Kuid mul oleks hea meel kulutada veidi rohkem aega teemade ajurünnakule, kui see tähendaks meid kõiki praegu kummitavate peatse identiteedivarguste spektrite raputamist, olenemata sellest, kas me teame seda või mitte.
Toimetajate soovitused
- Zoom parandas just Macis suure turvavea. Siin on põhjus, miks peaksite kohe värskendama
- Nvidia hoiatab oma GPU-de omanikke ohtliku turvaauku eest
- Kas teie arvuti on ohutu? Eelvaade on turvaviga, mida Intel oleks pidanud ennustama
Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
