Reuters melaporkan pada 6 Februari bahwa Biro Perlindungan Keuangan Konsumen, lembaga utama yang bertanggung jawab mengawasi keuangan perusahaan, mengabaikan penyelidikannya terhadap peretasan Equifax yang membahayakan informasi pribadi jutaan. CFPB diduga gagal mengeluarkan panggilan pengadilan atau meminta kesaksian apa pun – dan telah membatalkan kerja sama dengan lembaga lain seperti Federal Reserve.
Sayangnya, kejadian ini bukanlah kejadian yang mengejutkan.
Sayangnya, kejadian ini bukanlah kejadian yang mengejutkan. Berbagai regulator pemerintah telah mengenakan denda terhadap perusahaan yang dirugikan pelanggaran keamanan di masa lalu, dan beberapa kegagalan keamanan di masa lalu memang telah merugikan banyak perusahaan. Namun sebagian besarnya selamat tanpa cedera.
Terkait
- Kelemahan keamanan Google Chrome zero-day mengharuskan Anda memperbarui sekarang
- WPA3, keamanan Wi-Fi generasi ketiga, memiliki satu kelemahan besar: Anda
Dua penelitian independen telah mengkonfirmasi hal ini. Satu, dilakukan oleh RAND Corporation, menemukan bahwa sebagian besar pelanggaran komputer merugikan perusahaan sekitar $200.000. Itu angka yang kecil, bahkan untuk usaha kecil dengan beberapa lusin karyawan. Studi lain dari Universitas Columbia menemukan bahwa biaya finansial dari pelanggaran keamanan siber adalah, rata-rata, kurang dari 0,1 persen pendapatan tahunan perusahaan Fortune 500.
Dimana tongkatnya?
Pesan moral dari hal ini sederhana – konsekuensi dari pelanggaran data sering kali tidak cukup besar untuk membuat perusahaan khawatir mengenai keamanan.
Di sinilah lembaga pemerintah seperti CFPB perlu turun tangan. Mereka dapat mengambil risiko dengan menggunakan denda untuk memastikan perusahaan melihat konsekuensi nyata dari kegagalan mereka dalam melindungi konsumen. Di masa lalu, CFPB telah mengambil peran tersebut, meskipun biasanya CFPB belum menjadi bagian dari tindakan penegakan hukum yang diakibatkan oleh pelanggaran keamanan. Komisi Perdagangan Federal (Federal Trade Commission) juga terlibat dalam banyak kasus, namun jarang sekali mengenakan denda yang cukup besar sehingga menimbulkan konsekuensi nyata bagi perusahaan-perusahaan yang bersangkutan.
Memberikan izin kepada Equifax? Pemerintah harus memihak konsumen dan fokus untuk memastikan peretasan seperti itu #Pelanggaran Equifax jangan terjadi lagi. Tagihan saya dengan @SenWarren akan menjadi tempat yang baik untuk memulai. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5 Februari 2018
Pengawasan pemerintah cenderung lemah di Amerika Serikat, apa pun masalahnya, namun keamanan siber membuat regulator sangat kesal. Biasanya tidak jelas siapa yang paling mampu menangani penyelidikan, dan kerugian yang disebabkan oleh data yang disusupi tidak mudah untuk diukur.
Pada tahun 2013, Yahoo mengalami pelanggaran data terbesar yang pernah tercatat, mengekspos data tiga miliar penggunanya. Hukuman apa yang adil untuk setiap paparan? Apakah tingkat keparahan kehilangan data itu penting? Bagaimana kerugian yang diderita para korban dapat dihitung? Tampaknya tidak ada seorang pun yang setuju dan, yang lebih penting, undang-undang juga tidak menyetujuinya. Tidak mengherankan jika dampak yang ditimbulkan oleh para korban juga bervariasi. Walaupun kredit beberapa orang mungkin rusak atau pajaknya ditipu, yang lain tidak akan dirugikan sama sekali, dan biasanya tidak ada cara untuk menghubungkan pelanggaran tertentu dengan masalah yang diderita oleh korban tertentu.
Kompleksitas ini memberikan kesempatan bagi perusahaan dan organisasi lain untuk menghindari tanggung jawab hanya dengan sedikit permintaan maaf. Hal itulah yang dilakukan Equifax setelah peretasannya dengan menawarkan pemantauan pencurian identitas gratis kepada para korban. Ini adalah tindakan yang masuk akal dan dihargai, namun tidak cukup untuk melindungi para korban. Pemantauan tidak menghentikan pencurian identitas Anda dan tidak mengganti kerugian Anda. Ini hanya membantu Anda mengambil bagiannya sedikit lebih cepat daripada yang mungkin Anda lakukan.
Pelanggaran data harian tidak bisa dihindari
Hanya ada satu solusi untuk masalah ini. Kita memerlukan undang-undang baru dan komprehensif yang meminta pertanggungjawaban perusahaan atas pelanggaran keamanan.
Itu Undang-Undang Perlindungan dan Kompensasi Pelanggaran Data tahun 2018 bisa jadi hukum itu. RUU tersebut diperkenalkan ke kongres pada bulan Januari oleh Senator Elizabeth Warren dari Massachusetts dan Senator Mark Warner dari Virginia mendirikan Kantor Keamanan Siber, sebagai bagian dari FTC, yang akan mengawasi keamanan data pelaporan konsumen besar agensi. Kantor baru ini harus diberitahu tentang pelanggaran apa pun dalam waktu 10 hari; saat ini, perusahaan menunggu berbulan-bulan atau bahkan bertahun-tahun sebelum mengungkapkan suatu masalah.
Saat ini, perusahaan menunggu berbulan-bulan atau bahkan bertahun-tahun sebelum mengungkapkan suatu masalah.
Hukuman khusus juga diberikan, mulai dari $100 jika nama depan dan belakang konsumen disusupi, bersama dengan setidaknya satu item informasi identitas pribadi. Tambahan $50 dikenakan untuk setiap informasi tambahan yang bocor. Meski kami tidak tahu persis berapa besaran denda tersebut, namun ini adalah skema penalti Hal ini tampaknya mengambil pelajaran dari layanan data seluler dan ISP yang memberikan sanksi berat terhadap data kelebihan. Lebih baik lagi, setengah dari hukuman yang dikumpulkan akan dikembalikan kepada para korban.
Hukuman itu bertambah. Peretasan Equifax akan mengakibatkan denda sekitar $1,5 miliar dolar. Sebenarnya total denda akan lebih tinggi, namun ketentuan dalam RUU tersebut membatasi maksimal persentase pendapatan perusahaan. Equifax pasti akan selamat dari denda sebesar itu – pendapatan tahunannya adalah $3,1 miliar – namun jumlah ini cukup besar sehingga membuat perusahaan mana pun berpikir dua kali sebelum mengurangi keamanan siber.
Tentu saja, banyak perusahaan yang memprotes RUU tersebut, dan sepertinya RUU tersebut tidak akan disetujui Kongres. Namun tindakan inilah yang diperlukan, dan kita semua harus mendukung upaya akuntabilitas yang lebih besar. Pelanggaran keamanan besar yang terjadi hampir setiap hari memberikan banyak amunisi bagi kolom ini. Namun saya akan dengan senang hati meluangkan lebih banyak waktu untuk bertukar pikiran mengenai topik-topik yang mungkin dapat mengguncang spektrum pencurian identitas yang akan segera menghantui kita semua, baik kita menyadarinya atau tidak.
Rekomendasi Editor
- Zoom baru saja memperbaiki kelemahan keamanan utama di Mac. Inilah alasan Anda harus memperbarui sekarang
- Nvidia memperingatkan pemilik GPU-nya tentang kerentanan keamanan yang berbahaya
- Apakah PC Anda aman? Bayangan adalah kelemahan keamanan yang seharusnya diprediksi oleh Intel
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.
