Det meldte Reuters 6. februar at Consumer Financial Protection Bureau, et sentralt byrå som er ansvarlig for å føre tilsyn med økonomisk selskaper, neglisjerer etterforskningen av Equifax-hakket som kompromitterte personopplysningene av millioner. CFPB har angivelig unnlatt å utstede noen stevninger eller be om noe vitnesbyrd – og har støttet samarbeid med andre byråer som Federal Reserve.
Dessverre er dette ikke en sjokkerende hendelsesforløp.
Dessverre er dette ikke en sjokkerende hendelsesforløp. Ulike statlige regulatorer har ilagt bøter mot selskaper som lider sikkerhetsbrudd i fortiden, og en håndfull tidligere sikkerhetsfeil har faktisk kostet bedrifter dyrt. De fleste overlever imidlertid uskadd.
I slekt
- En null-dagers sikkerhetsfeil i Google Chrome krever at du oppdaterer nå
- WPA3, tredje generasjon Wi-Fi-sikkerhet, har en gigantisk feil: Du
To uavhengige studier har bekreftet dette. En,
utført av RAND Corporation, fant ut at de fleste databrudd koster et selskap rundt 200 000 dollar. Det er et lite tall, selv for en liten bedrift med noen få dusin ansatte. En annen studie fra Columbia University fant at økonomiske kostnadene ved et cybersikkerhetsbrudd er, i gjennomsnitt mindre enn 0,1 prosent av et Fortune 500-selskaps årlige inntekter.Hvor er pinnen?
Moralen i dette er enkel – konsekvensen av et datainnbrudd er ofte ikke høy nok til å få bedrifter til å bekymre seg for sikkerhet.
Det er der offentlige etater som CFPB må gå inn. De kan legge fingrene på vektskålen ved å bruke bøter for å sikre at selskapene ser reelle konsekvenser av deres manglende beskyttelse av forbrukerne. Tidligere har CFPB gått inn i den rollen, selv om det vanligvis ikke har vært en del av håndhevingshandlinger som stammer fra sikkerhetsbrudd. Federal Trade Commission er også involvert i mange saker, men også den ilegger sjelden en bot som er stor nok til å ha noen reell konsekvens for de aktuelle selskapene.
Gi Equifax et pass? Administrasjonen bør stå på forbrukernes side og fokusere på å sikre at hacks som #EquifaxBreach ikke skje igjen. Min regning med @SenWarren ville være et godt sted å starte. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5. februar 2018
Regjeringens tilsyn har en tendens til å være slapp i USA, uansett problem, men cybersikkerhet har regulatorer spesielt irritert. Det er vanligvis uklart hvem som er best rustet til å håndtere en etterforskning, og skaden forårsaket av kompromitterte data er ikke lett å kvantifisere.
I 2013 led Yahoo det største datainnbruddet som er registrert, og avslørte data om alle tre milliarder brukere. Hvilken straff er rettferdig for hver eksponering? Spiller alvorlighetsgraden av datatapet noen rolle? Hvordan kan tapene ofrene i det hele tatt kvantifiseres? Ingen ser ut til å være enige, og enda viktigere, loven er heller ikke enig. Det hjelper ikke at nedfallet for ofre også varierer. Mens noen kan få kreditten ødelagt eller skattesvindel, vil andre ikke bli skadet i det hele tatt, og det er vanligvis ingen måte å koble spesifikke brudd med problemene som spesifikke ofre lider.
Disse kompleksiteten gir bedrifter og andre organisasjoner en sjanse til å unngå ansvar med en mager unnskyldning. Det er akkurat det Equifax gjorde i kjølvannet av hacket sitt ved å tilby ofrene gratis overvåking av identitetstyveri. Det er en rimelig og verdsatt gest, men den går ikke langt nok til å beskytte ofrene. Overvåking stopper ikke identitetstyveri for deg og refunderer ikke det du har mistet. Det hjelper deg bare å plukke opp bitene av litt raskere enn du ellers ville gjort.
Daglige datainnbrudd trenger ikke være uunngåelige
Det er bare én løsning på problemet. Vi trenger nye, omfattende lover som holder selskaper ansvarlige for sikkerhetsbrudd.
De Lov om beskyttelse og kompensasjon for databrudd fra 2018 kan være den loven. Lovforslaget ble introdusert for kongressen i januar av senator Elizabeth Warren fra Massachusetts og senator Mark Warner fra Virginia. etablerer et kontor for cybersikkerhet, som en del av FTC, som skal overvåke datasikkerheten til rapportering av store forbrukere byråer. Dette nye kontoret må varsles om ethvert brudd innen 10 dager; For tiden venter selskaper måneder eller år før de avslører et problem.
For tiden venter selskaper måneder eller til og med år før de avslører et problem.
Spesifikke straffer er også notert, fra $100 hvis en forbrukers for- og etternavn er kompromittert, sammen med minst ett element med personlig identifiserende informasjon. Ytterligere $50 blir satt på for hver ekstra bit av informasjon som lekkes. Selv om vi ikke vet nøyaktig hva prisen på disse bøtene er basert på, er det en bøteordning som ser ut til å ta lærdom fra mobile datatjenester og Internett-leverandører som legger til høye straffer for data overskudd. Enda bedre, halve straffen som ble samlet inn ville bli gitt tilbake til ofrene.
Disse straffene går opp. Equifax sitt hack ville resultere i en straff på rundt 1,5 milliarder dollar. Faktisk ville den totale boten vært høyere, men en bestemmelse i lovforslaget begrenser maksimumsverdien til en prosentandel av et selskaps inntekt. Equifax ville uten tvil overleve en slik bot – den årlige inntekten er tross alt 3,1 milliarder dollar – men den er bratt nok til å få ethvert selskap til å tenke seg om to ganger før de slakter seg til cybersikkerhet.
Selskaper har selvfølgelig protestert mot lovforslaget, og det ser ikke ut til at det vil gå gjennom kongressen. Likevel er dette akkurat handlingen som er nødvendig, og vi bør alle samle oss bak et press for større ansvarlighet. Den nesten daglige forekomsten av store sikkerhetsbrudd gir rikelig med ammunisjon til denne kolonnen. Men jeg vil gjerne bruke litt mer tid på idédugnad om emner hvis det betydde å rokke ved spekteret av forestående identitetstyveri som for øyeblikket hjemsøker oss alle, enten vi vet det eller ikke.
Redaktørenes anbefalinger
- Zoom fikset nettopp en stor sikkerhetsfeil på Mac. Her er grunnen til at du bør oppdatere nå
- Nvidia advarer eiere av sine GPU-er om en farlig sikkerhetssårbarhet
- Er PC-en din trygg? Foreskygge er sikkerhetsfeilen Intel burde ha spådd
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
