Lo ha riferito Reuters il 6 febbraio che il Consumer Financial Protection Bureau, un'agenzia chiave responsabile della supervisione finanziaria aziende, sta trascurando le sue indagini sull'attacco informatico Equifax che ha compromesso le informazioni personali di milioni. Il CFPB presumibilmente non ha emesso alcun mandato di comparizione o richiesto alcuna testimonianza – e ha rinunciato alla cooperazione con altre agenzie come la Federal Reserve.
Purtroppo, questa non è una svolta scioccante degli eventi.
Purtroppo, questa non è una svolta scioccante degli eventi. Vari enti di regolamentazione governativi hanno imposto multe alle aziende che soffrono violazioni della sicurezza in passato, e una manciata di fallimenti passati in materia di sicurezza sono effettivamente costati cari alle aziende. La maggior parte, tuttavia, sopravvive indenne.
Imparentato
- Un difetto di sicurezza zero-day di Google Chrome richiede l'aggiornamento immediato
- WPA3, la terza generazione di sicurezza Wi-Fi, ha un enorme difetto: tu
Lo hanno confermato due studi indipendenti. Uno, condotto dalla RAND Corporation, ha scoperto che la maggior parte delle violazioni informatiche costa a un’azienda circa 200.000 dollari. Si tratta di una cifra piccola, anche per una piccola impresa con poche decine di dipendenti. Un altro studio della Columbia University ha scoperto che il costo finanziario di una violazione della sicurezza informatica è, in media, meno dello 0,1% del fatturato annuo di un’azienda Fortune 500.
Dov’è il bastone?
La morale è semplice: le conseguenze di una violazione dei dati spesso non sono abbastanza elevate da indurre le aziende a preoccuparsi della sicurezza.
È qui che devono intervenire agenzie governative come il CFPB. Possono mettere il dito sulla bilancia, utilizzando le multe per assicurarsi che le aziende vedano le conseguenze reali della loro incapacità di proteggere i consumatori. In passato, il CFPB ha assunto questo ruolo, anche se di solito non ha preso parte alle azioni di controllo derivanti da violazioni della sicurezza. In molti casi è coinvolta anche la Federal Trade Commission, ma anch’essa raramente impone una multa abbastanza grande da comportare conseguenze reali per le società in questione.
Dare un passaggio a Equifax? L'Amministrazione dovrebbe schierarsi dalla parte dei consumatori e concentrarsi sull'assicurare hack come quello #EquifaxBreach non accada di nuovo. La mia fattura con @SenWarren sarebbe un buon punto di partenza. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5 febbraio 2018
La supervisione del governo tende ad essere lassista negli Stati Uniti, qualunque sia il problema, ma la sicurezza informatica ha particolarmente irritato i regolatori. Di solito non è chiaro chi sia il più attrezzato per gestire un’indagine e il danno causato dai dati compromessi non è facile da quantificare.
Nel 2013, Yahoo ha subito la più grande violazione di dati mai registrata, esponendo i dati di tutti e tre i miliardi di utenti. Quale punizione è giusta per ogni esposizione? La gravità della perdita di dati è importante? Come si possono quantificare le perdite subite dalle vittime? Nessuno sembra essere d’accordo e, cosa più importante, nemmeno la legge è d’accordo. Non aiuta il fatto che anche le conseguenze per le vittime varino. Mentre alcuni potrebbero vedersi rovinare il credito o frodare le tasse, altri non verranno danneggiati affatto, e di solito non c’è modo di collegare violazioni specifiche con i problemi sofferti da vittime specifiche.
Queste complessità offrono alle aziende e ad altre organizzazioni la possibilità di schivare la responsabilità con magre scuse. Questo è esattamente ciò che Equifax ha fatto sulla scia del suo attacco informatico, offrendo alle vittime il monitoraggio gratuito del furto di identità. È un gesto ragionevole e apprezzato, ma non è sufficiente a proteggere le vittime. Il monitoraggio non ferma il furto di identità e non rimborsa ciò che hai perso. Ti aiuta semplicemente a raccogliere i pezzi un po' più velocemente di quanto faresti altrimenti.
Le violazioni quotidiane dei dati non devono essere inevitabili
C’è solo una soluzione al problema. Abbiamo bisogno di leggi nuove e complete che considerino le aziende responsabili delle violazioni della sicurezza.
IL Legge sulla protezione e compensazione della violazione dei dati del 2018 potrebbe essere quella legge. Presentato al congresso a gennaio dalla senatrice Elizabeth Warren del Massachusetts e dal senatore Mark Warner della Virginia, il disegno di legge istituisce un Ufficio per la sicurezza informatica, come parte della FTC, che supervisionerebbe la sicurezza dei dati delle segnalazioni dei grandi consumatori agenzie. Qualsiasi violazione dovrà essere notificata a questo nuovo ufficio entro 10 giorni; attualmente le aziende aspettano mesi o addirittura anni prima di rivelare un problema.
Attualmente le aziende aspettano mesi o addirittura anni prima di segnalare un problema.
Vengono inoltre segnalate sanzioni specifiche, a partire da $ 100 se il nome e il cognome di un consumatore vengono compromessi, insieme ad almeno un elemento di informazione di identificazione personale. Vengono aggiunti altri $ 50 per ogni ulteriore informazione trapelata. Anche se non sappiamo esattamente su cosa si basi il prezzo di tali multe, si tratta di un sistema di sanzioni ciò sembra prendere lezioni dai servizi dati mobili e dagli ISP che aggiungono forti penalità per i dati eccedenze. Meglio ancora, metà della sanzione riscossa verrebbe restituita alle vittime.
Queste sanzioni si sommano. L’hacking di Equifax comporterebbe una sanzione di circa 1,5 miliardi di dollari. In effetti, la sanzione totale sarebbe più elevata, ma una disposizione nella fattura limita l’importo massimo a una percentuale delle entrate di un’azienda. Equifax sopravviverebbe senza dubbio a una multa del genere – dopo tutto, il suo fatturato annuo è di 3,1 miliardi di dollari – ma è abbastanza alto da indurre qualsiasi azienda a pensarci due volte prima di allentare la sicurezza informatica.
Le aziende hanno ovviamente protestato contro il disegno di legge, che non sembra probabile che venga approvato dal Congresso. Eppure questa è esattamente l’azione necessaria e dovremmo tutti mobilitarci per spingere verso una maggiore responsabilità. Il verificarsi quasi quotidiano di gravi violazioni della sicurezza fornisce molte munizioni per questa rubrica. Ma sarei felice di dedicare un po’ più di tempo al brainstorming sugli argomenti se ciò significasse scuotere gli spettri dell’imminente furto di identità che attualmente perseguita tutti noi, che lo sappiamo o no.
Raccomandazioni degli editori
- Zoom ha appena risolto un grave difetto di sicurezza su Mac. Ecco perché dovresti aggiornare ora
- Nvidia avverte i proprietari delle sue GPU di una pericolosa vulnerabilità di sicurezza
- Il tuo PC è sicuro? Si preannuncia la falla di sicurezza che Intel avrebbe dovuto prevedere
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
