סוכנות הידיעות רויטרס דיווחה ב-6 בפברואר כי לשכת ההגנה הפיננסית לצרכן, סוכנות מפתח האחראית לפיקוח פיננסי חברות, מזניחה את חקירתה על הפריצה של Equifax שסכנה את המידע האישי של מיליונים. ה-CFPB נכשל לכאורה בהנפקת זימונים כלשהם או ביקש עדות כלשהי - וחזר בשיתוף פעולה עם סוכנויות אחרות כמו הפדרל ריזרב.
למרבה הצער, זה לא תפנית מזעזעת של אירועים.
למרבה הצער, זה לא תפנית מזעזעת של אירועים. רגולטורים ממשלתיים שונים הטילו קנסות על חברות שסובלות פרצות אבטחה בעבר, וקומץ כשלי אבטחה בעבר אכן עלו לחברות ביוקר. רובם, לעומת זאת, שורדים ללא פגע.
קָשׁוּר
- ליקוי אבטחה של Google Chrome של אפס יום מחייב אותך לעדכן עכשיו
- ל-WPA3, הדור השלישי של אבטחת Wi-Fi, יש פגם ענק אחד: אתה
שני מחקרים בלתי תלויים אישרו זאת. אחד, מבוצע על ידי תאגיד RAND, גילה שרוב הפרות המחשב עולות לחברה בסביבות 200,000 דולר. זה נתון קטן, אפילו עבור עסק קטן עם כמה עשרות עובדים. מחקר אחר מאוניברסיטת קולומביה מצא כי העלות הכספית של פרצת אבטחת סייבר היא, בממוצע, פחות מ-0.1 אחוז מההכנסות השנתיות של חברת Fortune 500.
איפה המקל?
מוסר ההשכל של זה הוא פשוט - התוצאה של פרצת נתונים לרוב אינה גבוהה מספיק כדי לגרום לחברות לדאוג לגבי אבטחה.
זה המקום שבו סוכנויות ממשלתיות כמו CFPB צריכות להתערב. הם יכולים לשים את האצבעות על המאזניים, תוך שימוש בקנסות כדי לוודא שחברות יראו השלכות אמיתיות מהכישלון שלהן להגן על הצרכנים. בעבר, ה-CFPB נכנס לתפקיד זה, למרות שבדרך כלל זה לא היה חלק מפעולות אכיפה הנובעות מפרצות אבטחה. נציבות הסחר הפדרלית מעורבת גם היא במקרים רבים, אך גם היא לעתים רחוקות גובה קנס גדול מספיק כדי להוות תוצאה של ממש עבור החברות המדוברות.
נותן לאקוויפקס אישור? המינהל צריך להיות בצד של הצרכנים ולהתמקד בלהבטיח פריצות כמו #EquifaxBreach שלא יקרה שוב. החשבון שלי עם @SenWarren יהיה מקום טוב להתחיל בו. https://t.co/iJ4neRvjut
- מארק וורנר (@MarkWarner) 5 בפברואר 2018
הפיקוח הממשלתי נוטה להיות רופף בארצות הברית, לא משנה מה הנושא, אבל אבטחת הסייבר מרגיזה את הרגולטורים במיוחד. בדרך כלל לא ברור מי הכי מצויד לטפל בחקירה, ולא קל לכמת את הנזק שנגרם על ידי נתונים שנפגעו.
בשנת 2013, יאהו סבלה מהפרת הנתונים הגדולה ביותר שנרשמה עד כה, וחשפה נתונים על כל שלושת מיליארד המשתמשים. איזה עונש הוגן לכל חשיפה? האם יש חשיבות לחומרת אובדן הנתונים? כיצד ניתן בכלל לכמת את ההפסדים שספגו הקורבנות? נראה שאף אחד לא מסכים, וחשוב מכך, גם החוק לא מסכים. זה לא עוזר שגם הנשורת לקורבנות משתנה. בעוד שחלקם עלולים להרוס את האשראי שלהם או להונות את המסים שלהם, לאחרים לא ייפגעו כלל, ובדרך כלל אין דרך לקשר הפרות ספציפיות עם הבעיות שמהן סובלים קורבנות ספציפיים.
המורכבויות הללו מאפשרות לחברות, ולארגונים אחרים, הזדמנות להתחמק מאחריות בהתנצלות זעומה. זה בדיוק מה ש-Equifax עשתה בעקבות הפריצה שלה בכך שהציעה לקורבנות ניטור גניבת זהות בחינם. זו מחווה סבירה ומוערכת, אבל היא לא מרחיקה לכת כדי להגן על הקורבנות. ניטור לא עוצר עבורך גניבת זהות ואינו מחזיר לך את מה שאיבדת. זה רק עוזר לך לאסוף את החלקים של קצת יותר מהר ממה שאתה יכול אחרת.
פרצות נתונים יומיומיות לא חייבות להיות בלתי נמנעות
יש רק פתרון אחד לבעיה. אנו זקוקים לחוקים חדשים ומקיפים שמעמידים חברות באחריות לפרצות אבטחה.
ה חוק ההגנה על הפרת מידע ופיצויים משנת 2018 יכול להיות החוק הזה. הצעת החוק הוצגה לקונגרס בינואר על ידי סנטור אליזבת וורן ממסצ'וסטס וסנאטור מארק וורנר מווירג'יניה. מקימה משרד לאבטחת סייבר, כחלק מה-FTC, אשר יפקח על אבטחת הנתונים של דיווח צרכנים גדולים סוכנויות. המשרד החדש הזה יצטרך לקבל הודעה על כל הפרה בתוך 10 ימים; נכון לעכשיו, חברות ממתינות חודשים או אפילו שנים לפני שחושפות בעיה.
נכון לעכשיו, חברות ממתינות חודשים או אפילו שנים לפני שחושפות בעיה.
כמו כן, צוינו עונשים ספציפיים, החל מ-$100 אם שם הפרטי ושם המשפחה של הצרכן נפגעים, יחד עם לפחות פריט אחד של מידע מזהה אישי. 50 דולר נוספים מוכנסים עבור כל פיסת מידע נוספת שדלפה. למרות שאיננו יודעים בדיוק על מה מבוסס המחיר של הקנסות הללו, מדובר בשיטת עונשין נראה שלוקחים לקחים משירותי נתונים ניידים ומספקי אינטרנט המוסיפים עונשים כבדים על נתונים יתר. עדיף, מחצית מהעונש שנגבה יוחזר לקורבנות.
העונשים האלה מסתכמים. הפריצה של Equifax תגרום לקנס של כ-1.5 מיליארד דולר. למעשה, הקנס הכולל יהיה גבוה יותר, אך הוראה בהצעת החוק מגבילה את המקסימום לאחוז מהכנסות החברה. Equifax ללא ספק תשרוד קנס כזה - ההכנסות השנתיות שלה הן 3.1 מיליארד דולר, אחרי הכל - אבל זה תלול מספיק כדי לגרום לכל חברה לחשוב פעמיים לפני שהיא מתאפקת באבטחת סייבר.
חברות מחו על הצעת החוק, כמובן, ולא נראה שהיא תעבור בקונגרס. עם זאת, זו בדיוק הפעולה הדרושה, וכולנו צריכים להתגייס מאחורי דחיפה לאחריות רבה יותר. ההתרחשות כמעט יומיומית של פרצות אבטחה גדולות מספקת הרבה תחמושת לעמוד הזה. אבל הייתי שמח להקדיש קצת יותר זמן לסיעור מוחות אם זה אומר לנער את הספקטרום של גניבת זהות קרובה שרודפת את כולנו כרגע, בין אם אנחנו יודעים זאת או לא.
המלצות עורכים
- זום תיקנה ליקוי אבטחה גדול ב-Mac. הנה הסיבה שכדאי לעדכן עכשיו
- Nvidia מזהירה את הבעלים של ה-GPUs שלה מפני פגיעות אבטחה מסוכנת
- האם המחשב שלך בטוח? צל מבשר הוא פגם האבטחה שאינטל הייתה צריכה לחזות
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
