Dat meldde Reuters op 6 februari dat het Consumer Financial Protection Bureau, een belangrijke instantie die verantwoordelijk is voor het toezicht op de financiële sector bedrijven, verwaarloost zijn onderzoek naar de Equifax-hack die de persoonlijke informatie in gevaar bracht van miljoenen. Het CFPB zou er naar verluidt niet in zijn geslaagd dagvaardingen uit te vaardigen of om een getuigenis te vragen – en heeft de samenwerking met andere instanties zoals de Federal Reserve stopgezet.
Helaas is dit geen schokkende gang van zaken.
Helaas is dit geen schokkende gang van zaken. Verschillende overheidstoezichthouders hebben boetes opgelegd aan bedrijven die eronder lijden veiligheidsinbreuken in het verleden, en een handvol eerdere beveiligingsfouten heeft bedrijven inderdaad veel geld gekost. De meesten overleven het echter ongedeerd.
Verwant
- Een zero-day beveiligingsfout in Google Chrome vereist dat u nu updatet
- WPA3, de derde generatie Wi-Fi-beveiliging, heeft één grote fout: jij
Twee onafhankelijke onderzoeken hebben dit bevestigd. Een, uitgevoerd door de RAND Corporation, ontdekte dat de meeste computerinbraken een bedrijf ongeveer $ 200.000 kosten. Dat is een klein cijfer, zelfs voor een klein bedrijf met enkele tientallen werknemers. Uit een ander onderzoek van Columbia University bleek dat de financiële kosten van een inbreuk op de cyberbeveiliging zijngemiddeld minder dan 0,1 procent van de jaaromzet van een Fortune 500-bedrijf.
Waar is de stok?
De moraal hiervan is simpel: de gevolgen van een datalek zijn vaak niet groot genoeg om bedrijven zich zorgen te maken over de veiligheid.
Dat is waar overheidsinstanties zoals het CFPB tussenbeide moeten komen. Ze kunnen hun vingers op de weegschaal leggen en boetes gebruiken om ervoor te zorgen dat bedrijven de reële gevolgen zien van hun onvermogen om consumenten te beschermen. In het verleden heeft het CFPB die rol op zich genomen, hoewel het doorgaans geen deel uitmaakte van handhavingsacties die voortkwamen uit inbreuken op de beveiliging. Ook de Federal Trade Commission is bij veel zaken betrokken, maar ook zij legt zelden een boete op die hoog genoeg is om reële gevolgen te hebben voor de bedrijven in kwestie.
Equifax een kans geven? De overheid moet de kant van de consument kiezen en zich concentreren op het voorkomen van hacks zoals de #EquifaxBreach gebeurt niet meer. Mijn factuur met @SenWarren zou een goede plek zijn om te beginnen. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5 februari 2018
Het overheidstoezicht is in de Verenigde Staten vaak laks, ongeacht de kwestie, maar cyberveiligheid heeft vooral de toezichthouders geïrriteerd. Het is meestal onduidelijk wie het beste is toegerust om een onderzoek af te handelen, en de schade die wordt veroorzaakt door gecompromitteerde gegevens is niet eenvoudig te kwantificeren.
In 2013 kreeg Yahoo te maken met het grootste datalek tot nu toe, waarbij gegevens van alle drie miljard gebruikers openbaar werden gemaakt. Welke straf is eerlijk voor elke blootstelling? Maakt de ernst van het gegevensverlies uit? Hoe kunnen de verliezen die de slachtoffers lijden überhaupt worden gekwantificeerd? Niemand lijkt het daarmee eens te zijn, en belangrijker nog, de wet is het daar ook niet mee eens. Het helpt niet dat de gevolgen voor slachtoffers ook variëren. Terwijl bij sommigen hun krediet wordt geruïneerd of hun belastingen worden beroofd, zullen anderen helemaal geen schade ondervinden, en er is meestal geen manier om specifieke schendingen in verband te brengen met de problemen van specifieke slachtoffers.
Deze complexiteit geeft bedrijven en andere organisaties de kans om hun verantwoordelijkheid te ontlopen met een schamele verontschuldiging. Dat is precies wat Equifax deed in de nasleep van de hack door slachtoffers gratis monitoring van identiteitsdiefstal aan te bieden. Het is een redelijk en gewaardeerd gebaar, maar het gaat niet ver genoeg om de slachtoffers te beschermen. Monitoring stopt identiteitsdiefstal niet voor u en vergoedt niet wat u bent kwijtgeraakt. Het helpt je alleen maar om de stukken iets sneller op te pakken dan je anders zou doen.
Dagelijkse datalekken hoeven niet onvermijdelijk te zijn
Er is maar één oplossing voor het probleem. We hebben nieuwe, alomvattende wetten nodig die bedrijven verantwoordelijk houden voor inbreuken op de beveiliging.
De Wet op de bescherming en compensatie van gegevensinbreuken van 2018 zou die wet kunnen zijn. Het wetsvoorstel werd in januari op het congres geïntroduceerd door senator Elizabeth Warren uit Massachusetts en senator Mark Warner uit Virginia. richt een Office of Cybersecurity op, als onderdeel van de FTC, dat toezicht zou houden op de gegevensbeveiliging van de rapportage van grote consumenten agentschappen. Dit nieuwe kantoor zou binnen tien dagen op de hoogte moeten worden gesteld van elke inbreuk; Momenteel wachten bedrijven maanden of zelfs jaren voordat ze een probleem aan het licht brengen.
Momenteel wachten bedrijven maanden of zelfs jaren voordat ze een probleem aan het licht brengen.
Er worden ook specifieke boetes vermeld, beginnend bij $ 100 als de voor- en achternaam van een consument in gevaar komen, samen met ten minste één item met persoonlijk identificeerbare informatie. Voor elk extra stukje informatie dat wordt gelekt, wordt nog eens $ 50 extra uitgetrokken. Hoewel we niet precies weten waar de prijs van die boetes op gebaseerd is, gaat het om een boeteregeling dat lijkt lessen te trekken uit mobiele datadiensten en ISP's die hoge boetes opleggen voor data overschotten. Beter nog: de helft van de geïnde boete zou worden teruggegeven aan de slachtoffers.
Die boetes lopen op. De hack van Equifax zou resulteren in een boete van ongeveer $1,5 miljard dollar. In feite zou de totale boete hoger zijn, maar een bepaling in het wetsvoorstel beperkt het maximum tot een percentage van de omzet van een bedrijf. Equifax zou zo’n boete ongetwijfeld overleven – de jaaromzet bedraagt immers 3,1 miljard dollar – maar de boete is hoog genoeg om elk bedrijf twee keer te laten nadenken voordat ze verslappen aan cyberbeveiliging.
Bedrijven hebben uiteraard geprotesteerd tegen het wetsvoorstel, en het lijkt niet waarschijnlijk dat het door het Congres zal worden aangenomen. Toch is dit precies de actie die nodig is, en we moeten ons allemaal scharen achter een streven naar grotere verantwoordelijkheid. Het bijna dagelijks voorkomen van grote inbreuken op de beveiliging levert voldoende munitie op voor deze colonne. Maar ik zou graag wat meer tijd besteden aan het brainstormen over onderwerpen als dit zou betekenen dat de spectra van de dreigende identiteitsdiefstal die ons momenteel allemaal achtervolgt, of we het nu weten of niet, opschudden.
Aanbevelingen van de redactie
- Zoom heeft zojuist een groot beveiligingsprobleem op de Mac opgelost. Dit is waarom je nu moet updaten
- Nvidia waarschuwt eigenaren van zijn GPU's voor een gevaarlijk beveiligingsprobleem
- Is uw pc veilig? Een voorafschaduwing is het beveiligingslek dat Intel had moeten voorspellen
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
