A Reuters február 6-án jelentette hogy a Fogyasztói Pénzügyi Védelmi Iroda, a pénzügyi felügyeletért felelős kulcsfontosságú ügynökség társaságok, figyelmen kívül hagyja a személyes adatokat kompromittáló Equifax feltöréssel kapcsolatos vizsgálatot milliókból. A CFPB állítólag nem bocsátott ki idézést vagy nem kért tanúvallomást – és meghátrált az együttműködéstől más ügynökségekkel, például a Federal Reserve-vel.
Sajnos ez nem egy megrázó fordulat.
Sajnos ez nem egy megrázó fordulat. Különböző kormányzati szabályozó hatóságok bírságokat szabtak ki a szenvedő vállalatokra biztonsági rések a múltban, és néhány korábbi biztonsági hiba valóban sokba került a vállalatoknak. A legtöbb azonban sértetlenül túléli.
Összefüggő
- A Google Chrome nulladik napi biztonsági hibája miatt most frissítenie kell
- A WPA3-nak, a Wi-Fi biztonság harmadik generációjának van egy óriási hibája: Ön
Ezt két független tanulmány is megerősítette. Egy,
amelyet a RAND Corporation végez, megállapította, hogy a legtöbb számítógépes feltörés egy vállalatnak körülbelül 200 000 dollárjába kerül. Ez kicsi szám, még egy néhány tucat alkalmazottat foglalkoztató kisvállalkozás számára is. A Columbia Egyetem másik tanulmánya szerint a a kiberbiztonság megsértésének pénzügyi költsége, átlagosan egy Fortune 500-as vállalat éves bevételének kevesebb, mint 0,1 százaléka.Hol a bot?
Ennek a morálja egyszerű – az adatszivárgás következménye gyakran nem elég magas ahhoz, hogy a vállalatok aggódjanak a biztonság miatt.
Itt kell beavatkozniuk az olyan kormányzati szerveknek, mint a CFPB. A mérlegre tehetik az ujjukat, és pénzbírságokkal biztosítják, hogy a vállalatok lássák a fogyasztók védelmének elmulasztásának valós következményeit. A múltban a CFPB lépett be ebbe a szerepbe, bár általában nem volt része a biztonság megsértéséből eredő végrehajtási intézkedéseknek. A Szövetségi Kereskedelmi Bizottság is sok esetben érintett, de ez is ritkán szab ki elég nagy bírságot ahhoz, hogy valódi következményekkel járjon a szóban forgó vállalatok számára.
Belép az Equifax? Az adminisztrációnak a fogyasztók oldalára kell állnia, és arra kell összpontosítania, hogy biztosítsa az olyan feltöréseket, mint a #EquifaxBreach ne forduljon elő újra. A számlám ezzel @SenWarren jó kiindulópont lenne. https://t.co/iJ4neRvjut
– Mark Warner (@MarkWarner) 2018. február 5
A kormányzati felügyelet általában laza az Egyesült Államokban, függetlenül a problémától, de a kiberbiztonság különösen idegesíti a szabályozókat. Általában nem világos, hogy ki a legmegfelelőbb a nyomozás lebonyolítására, és a kompromittált adatok által okozott kárt nem könnyű számszerűsíteni.
2013-ban a Yahoo elszenvedte az eddigi legnagyobb adatvédelmi incidenst, amely mind a három milliárd felhasználó adatait nyilvánosságra hozta. Milyen büntetés méltányos minden egyes kitételért? Számít az adatvesztés súlyossága? Hogyan lehet számszerűsíteni az áldozatok által elszenvedett veszteségeket? Úgy tűnik, senki sem ért egyet, és ami még fontosabb, a törvény sem ért egyet. Az sem segít, hogy az áldozatok esete is változó. Míg egyesek hitelét tönkretehetik, vagy adójukat becsalják, másoknak egyáltalán nem esik bántódása, és általában nincs mód arra, hogy a konkrét jogsértéseket az áldozatok által elszenvedett problémákkal összekapcsolják.
Ezek a bonyolultságok lehetőséget adnak a vállalatoknak és más szervezeteknek, hogy egy csekély bocsánatkéréssel kikerüljék a felelősséget. Pontosan ezt tette az Equifax a feltörése nyomán, amikor ingyenes személyazonosság-lopás megfigyelést kínált az áldozatoknak. Ez egy ésszerű és értékelhető gesztus, de nem megy elég messzire ahhoz, hogy megvédje az áldozatokat. A megfigyelés nem állítja meg a személyazonosság-lopást, és nem téríti meg, amit elvesztett. Csupán abban segít, hogy egy kicsit gyorsabban szedje össze a darabokat, mint egyébként.
A napi adatszivárgásnak nem kell elkerülhetetlennek lennie
Csak egy megoldás létezik a problémára. Új, átfogó törvényekre van szükségünk, amelyek felelősségre vonják a vállalatokat a biztonsági megsértésekért.
A 2018. évi adatvédelmi és kártérítési törvény lehet ez a törvény. A törvénytervezetet Elizabeth Warren massachusettsi szenátor és Mark Warner virginiai szenátor mutatta be a kongresszusnak januárban. Kiberbiztonsági Hivatalt hoz létre az FTC részeként, amely felügyelné a nagyfogyasztói bejelentések adatbiztonságát ügynökségek. Ezt az új irodát 10 napon belül értesíteni kell minden jogsértésről; jelenleg a vállalatok hónapokat vagy akár éveket várnak, mielőtt nyilvánosságra hozzák a problémát.
Jelenleg a vállalatok hónapokat vagy akár éveket várnak, mielőtt nyilvánosságra hozzák a problémát.
Különleges szankciókat is feljegyeznek, 100 dollártól kezdődően, ha a fogyasztó vezeték- és keresztnevét veszélyeztetik, valamint legalább egy személyazonosító adatot. Minden további kiszivárgott információért további 50 dollárt kell fizetni. Bár nem tudjuk pontosan, hogy ezeknek a bírságoknak az ára mi alapján történik, ez egy szankciórendszer úgy tűnik, hogy levonja a tanulságot a mobil adatszolgáltatásoktól és az internetszolgáltatóktól, amelyek meredek szankciókat szabnak ki az adatokért túlkorosok. Még jobb, ha a beszedett büntetés felét visszakapnák az áldozatok.
Ezek a büntetések összeadódnak. Az Equifax feltörése körülbelül 1,5 milliárd dolláros büntetést von maga után. Valójában a teljes bírság magasabb lenne, de a törvényjavaslat egy rendelkezése a maximumot a vállalat bevételének egy százalékára korlátozza. Az Equifax kétségtelenül túlélne egy ilyen bírságot – elvégre éves bevétele 3,1 milliárd dollár –, de ez elég meredek ahhoz, hogy minden céget kétszer is meggondoljon, mielőtt lazítana a kiberbiztonságon.
A cégek természetesen tiltakoztak a törvényjavaslat ellen, és nem tűnik valószínűnek, hogy a kongresszus elfogadja. Mégis pontosan erre van szükség, és mindannyiunknak fel kell állnunk a nagyobb elszámoltathatóság érdekében. A szinte naponta előforduló nagyobb biztonsági rések rengeteg lőszert biztosítanak ennek az oszlopnak. De örülnék, ha egy kicsit több időt töltenék a témák ötletelésével, ha ez a közelgő személyazonosság-lopás spektrumának megrendítését jelentené, amely jelenleg mindannyiunkat kísért, akár tudjuk, akár nem.
Szerkesztői ajánlások
- A Zoom most javított egy nagy biztonsági hibát a Mac-en. Ezért érdemes most frissítenie
- Az Nvidia veszélyes biztonsági résre figyelmezteti GPU-inak tulajdonosait
- Biztonságos a számítógépe? Előre az a biztonsági hiba, amelyet az Intelnek előre kellett volna jeleznie
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
