Reuters je izvijestio 6. veljače da je Ured za financijsku zaštitu potrošača, ključna agencija odgovorna za nadzor financijskih tvrtki, zanemaruje svoju istragu o hakiranju Equifaxa koje je ugrozilo osobne podatke milijuna. CFPB navodno nije izdao nikakve sudske pozive niti zatražio bilo kakvo svjedočenje - i odustao je od suradnje s drugim agencijama poput Federalnih rezervi.
Nažalost, ovo nije šokantan razvoj događaja.
Nažalost, ovo nije šokantan razvoj događaja. Razni državni regulatori nametnuli su novčane kazne tvrtkama koje trpe štetu sigurnosnih povreda u prošlosti, a nekolicina prošlih sigurnosnih propusta doista je skupo koštala tvrtke. Većina, međutim, preživi neozlijeđena.
Povezano
- Sigurnosni propust Google Chromea nultog dana zahtijeva da ažurirate sada
- WPA3, treća generacija Wi-Fi sigurnosti, ima jednu veliku manu: Vi
Dvije neovisne studije su to potvrdile. Jedan, provodi RAND Corporation
, utvrdio je da većina računalnih provala košta tvrtku oko 200.000 dolara. To je mala brojka, čak i za malu tvrtku s nekoliko desetaka zaposlenih. Druga studija Sveučilišta Columbia otkrila je da financijski trošak kibernetičke sigurnosti je, u prosjeku manje od 0,1 posto godišnjeg prihoda tvrtke s liste Fortune 500.Gdje je štap?
Pouka ovoga je jednostavna - posljedice povrede podataka često nisu dovoljno visoke da bi se tvrtke brinule o sigurnosti.
Tu vladine agencije poput CFPB-a trebaju uskočiti. Oni mogu staviti svoje prste na vagu, koristeći novčane kazne kako bi osigurali da tvrtke vide stvarne posljedice svog propusta da zaštite potrošače. U prošlosti je CFPB preuzeo tu ulogu, iako obično nije bio dio radnji provedbe koje proizlaze iz kršenja sigurnosti. Federalna komisija za trgovinu također je uključena u mnoge slučajeve, ali i ona rijetko naplaćuje dovoljno veliku kaznu da bi predstavljala bilo kakve stvarne posljedice za dotične tvrtke.
Dati Equifaxu propusnicu? Administracija bi trebala stati na stranu potrošača i usredotočiti se na osiguravanje hakiranja poput #EquifaxBreach nemoj se ponoviti. Moj račun sa @SenWarren bilo bi dobro mjesto za početak. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5. veljače 2018
Državni nadzor u Sjedinjenim Državama obično je slab, bez obzira na problem, ali kibernetička sigurnost posebno smeta regulatorima. Obično nije jasno tko je najbolje opremljen za vođenje istrage, a štetu uzrokovanu ugroženim podacima nije lako kvantificirati.
Godine 2013. Yahoo je pretrpio najveću dosad zabilježenu povredu podataka, otkrivši podatke o sve tri milijarde korisnika. Koja je kazna pravedna za svako izlaganje? Je li ozbiljnost gubitka podataka važna? Kako se uopće mogu kvantificirati gubici koje su pretrpjele žrtve? Čini se da se nitko ne slaže i, što je još važnije, ni zakon se ne slaže. Ne pomaže ni to što posljedice za žrtve također variraju. Dok bi nekima mogao biti uništen kredit ili prevaren porez, drugi neće biti nimalo oštećeni i obično ne postoji način da se konkretna kršenja povežu s problemima koje trpe određene žrtve.
Ove složenosti omogućuju tvrtkama i drugim organizacijama priliku da izbjegnu odgovornost uz oskudnu ispriku. Upravo je to ono što je Equifax učinio nakon hakiranja ponudivši žrtvama besplatno praćenje krađe identiteta. To je razumna i cijenjena gesta, ali ne ide dovoljno daleko da zaštiti žrtve. Praćenje ne zaustavlja krađu identiteta umjesto vas i ne nadoknađuje ono što ste izgubili. Samo vam pomaže da pokupite dijelove malo brže nego što biste inače mogli.
Svakodnevne povrede podataka ne moraju biti neizbježne
Postoji samo jedno rješenje problema. Trebamo nove, sveobuhvatne zakone koji tvrtke smatraju odgovornima za kršenje sigurnosti.
The Zakon o zaštiti od povrede podataka i naknadi štete iz 2018 mogao bi biti taj zakon. Kongresu su u siječnju predstavili senatorica Elizabeth Warren iz Massachusettsa i senator Mark Warner iz Virginije, prijedlog zakona uspostavlja Ured za kibernetičku sigurnost, kao dio FTC-a, koji bi nadzirao sigurnost podataka velikih potrošača agencije. Ovaj bi novi ured morao biti obaviješten o svakom kršenju u roku od 10 dana; trenutno tvrtke čekaju mjesecima ili čak godinama prije nego što otkriju problem.
Trenutno tvrtke čekaju mjesecima ili čak godinama prije nego što otkriju problem.
Navedene su i posebne kazne, počevši od 100 dolara ako su ime i prezime potrošača kompromitirani, zajedno s najmanje jednom stavkom osobnih podataka. Dodatnih 50 USD obračunava se za svaki dodatni procurjeli podatak. Iako ne znamo točno na čemu se temelji cijena tih kazni, radi se o sustavu kažnjavanja Čini se da se to naučilo iz mobilnih podatkovnih usluga i ISP-ova koji dodaju visoke kazne za podatke prekoračenja. Još bolje, polovica naplaćene kazne bila bi vraćena žrtvama.
Te se kazne zbrajaju. Equifaxovo hakiranje rezultiralo bi kaznom od oko 1,5 milijardi dolara. Zapravo, ukupna bi kazna bila veća, ali odredba u prijedlogu zakona ograničava maksimum na postotak prihoda tvrtke. Equifax bi bez sumnje preživio takvu kaznu - njegov godišnji prihod ipak iznosi 3,1 milijardu dolara - ali dovoljno je strma da natjera bilo koju tvrtku da razmisli dvaput prije nego što popusti oko cyber sigurnosti.
Kompanije su, naravno, protestirale protiv prijedloga zakona i ne čini se da će proći u Kongresu. Ipak, upravo je to akcija koja je potrebna i svi bismo se trebali okupiti iza pokreta za veću odgovornost. Gotovo svakodnevna pojava velikih sigurnosnih proboja osigurava obilje streljiva za ovu rubriku. Ali rado bih proveo malo više vremena razmišljajući o temama ako bi to značilo protresti spektre neizbježne krađe identiteta koja nas trenutno sve proganja, bili mi toga svjesni ili ne.
Preporuke urednika
- Zoom je upravo popravio veliki sigurnosni propust na Macu. Evo zašto biste trebali ažurirati sada
- Nvidia upozorava vlasnike svojih GPU-ova na opasnu sigurnosnu ranjivost
- Je li vaše računalo sigurno? Foreshadow je sigurnosni propust koji je Intel trebao predvidjeti
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.
