Jak poinformował Reuters 6 lutego że Biuro Ochrony Finansów Konsumentów, kluczowa agencja odpowiedzialna za nadzór finansowy firm, zaniedbuje dochodzenie w sprawie włamania do Equifax, w wyniku którego naruszono bezpieczeństwo danych osobowych milionów. CFPB rzekomo nie wydała żadnych wezwań do sądu ani nie zażądała żadnych zeznań i wycofała się ze współpracy z innymi agencjami, takimi jak Rezerwa Federalna.
Niestety, nie jest to szokujący obrót wydarzeń.
Niestety, nie jest to szokujący obrót wydarzeń. Różne rządowe organy regulacyjne nałożyły kary na przedsiębiorstwa, które poniosły straty naruszenia bezpieczeństwa w przeszłości, a kilka wcześniejszych błędów w zakresie bezpieczeństwa rzeczywiście drogo kosztowało firmy. Większość jednak przeżywa bez szwanku.
Powiązany
- Luka w zabezpieczeniach przeglądarki Google Chrome typu zero-day wymaga aktualizacji już teraz
- WPA3, trzecia generacja zabezpieczeń Wi-Fi, ma jedną ogromną wadę: Ty
Potwierdziły to dwa niezależne badania. Jeden, prowadzone przez firmę RANDwykazały, że większość włamań do komputerów kosztuje firmę około 200 000 dolarów. To niewielka liczba, nawet jak na małą firmę zatrudniającą kilkudziesięciu pracowników. Inne badanie przeprowadzone na Uniwersytecie Columbia wykazało, że Koszt finansowy naruszenia bezpieczeństwa cybernetycznego wynosiśrednio mniej niż 0,1 procent rocznych przychodów firmy z listy Fortune 500.
Gdzie jest kij?
Morał z tego jest prosty – konsekwencje naruszenia bezpieczeństwa danych często nie są na tyle poważne, aby firmy martwiły się o bezpieczeństwo.
W tym miejscu muszą wkroczyć agencje rządowe, takie jak CFPB. Mogą położyć rękę na szali, stosując kary, aby upewnić się, że firmy zobaczą realne konsekwencje braku ochrony konsumentów. W przeszłości CFPB pełniła tę rolę, chociaż zwykle nie brała udziału w działaniach wykonawczych wynikających z naruszeń bezpieczeństwa. W wiele spraw zaangażowana jest także Federalna Komisja Handlu, lecz ona również rzadko nakłada kary na tyle wysokie, aby miały realne konsekwencje dla danych przedsiębiorstw.
Dać przepustkę Equifaxowi? Administracja powinna stanąć po stronie konsumentów i skupić się na upewnieniu się, że hacki takie jak #EquifaxNaruszenie nie powtórz się. Mój rachunek z @SenWarren byłoby dobrym miejscem na początek. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5 lutego 2018 r
Nadzór rządowy w Stanach Zjednoczonych jest zwykle luźny, niezależnie od problemu, ale bezpieczeństwo cybernetyczne szczególnie irytuje organy regulacyjne. Zwykle nie jest jasne, kto jest najlepiej przygotowany do prowadzenia dochodzenia, a szkody spowodowane przez naruszenie danych nie są łatwe do oszacowania.
W 2013 r. Yahoo doświadczyło największego w historii naruszenia bezpieczeństwa danych, w wyniku którego ujawniono dane wszystkich trzech miliardów użytkowników. Jaka kara jest sprawiedliwa za każde narażenie? Czy stopień utraty danych ma znaczenie? Jak w ogóle można oszacować straty poniesione przez ofiary? Wydaje się, że nikt się z tym nie zgadza i, co ważniejsze, nie zgadza się z tym również prawo. Nie pomaga fakt, że skutki dla ofiar również są różne. Choć niektórym może grozić utrata kredytu lub oszukanie podatków, innym w ogóle nic się nie stanie i zazwyczaj nie da się powiązać konkretnych naruszeń z problemami, jakich doświadczają konkretne ofiary.
Te zawiłości dają firmom i innym organizacjom szansę na uniknięcie odpowiedzialności za pomocą skromnych przeprosin. Dokładnie to samo zrobiło Equifax po włamaniu, oferując ofiarom bezpłatne monitorowanie kradzieży tożsamości. To rozsądny i ceniony gest, ale nie wystarcza, aby chronić ofiary. Monitoring nie zatrzymuje kradzieży tożsamości i nie zwraca tego, co utraciłeś. Pomaga jedynie pozbierać kawałki nieco szybciej, niż byłoby to możliwe w innym przypadku.
Codzienne naruszenia bezpieczeństwa danych nie muszą być nieuniknione
Jest tylko jedno rozwiązanie problemu. Potrzebujemy nowych, kompleksowych przepisów, które pociągają firmy do odpowiedzialności za naruszenia bezpieczeństwa.
The Ustawa o ochronie danych osobowych i odszkodowaniach z 2018 r może być takie prawo. Projekt ustawy przedstawiony Kongresowi w styczniu przez senator Elizabeth Warren z Massachusetts i senatora Marka Warnera z Wirginii powołuje w ramach FTC Biuro ds. Cyberbezpieczeństwa, które miałoby nadzorować bezpieczeństwo danych raportowania dużych konsumentów agencje. Nowy urząd musiałby zostać powiadomiony o każdym naruszeniu w ciągu 10 dni; obecnie firmy czekają miesiącami, a nawet latami, zanim ujawnią problem.
Obecnie firmy czekają miesiącami, a nawet latami, zanim ujawnią problem.
Przestrzegane są również specjalne kary, zaczynające się od 100 dolarów w przypadku ujawnienia imienia i nazwiska konsumenta oraz co najmniej jednego elementu danych osobowych. Za każdą dodatkową wyciekającą informację naliczane jest dodatkowe 50 dolarów. Choć nie wiemy dokładnie, od czego opiera się wysokość tych kar, jest to schemat karny wydaje się, że czerpiemy wnioski z mobilnych usług transmisji danych i dostawców usług internetowych, którzy nakładają surowe kary za transmisję danych nadwyżki. Co więcej, połowa naliczonej kary zostanie zwrócona ofiarom.
Te kary się sumują. Włamanie do Equifax skutkowałoby karą w wysokości około 1,5 miliarda dolarów. Tak naprawdę łączna kara byłaby wyższa, ale zapis w projekcie ustawy ogranicza jej maksymalną wysokość do procentu przychodów firmy. Equifax bez wątpienia przetrwałby taką karę – w końcu jej roczne przychody wynoszą 3,1 miliarda dolarów – ale jest ona na tyle wysoka, że każda firma zastanowi się dwa razy, zanim zrezygnuje z bezpieczeństwa cybernetycznego.
Firmy oczywiście protestowały przeciwko ustawie i nie wydaje się prawdopodobne, aby została ona przyjęta przez Kongres. Jednak właśnie takie działania są potrzebne i wszyscy powinniśmy zjednoczyć się w dążeniu do większej odpowiedzialności. Niemal codzienne występowanie poważnych naruszeń bezpieczeństwa zapewnia mnóstwo amunicji dla tej kolumny. Ale chętnie poświęciłbym trochę więcej czasu na burzę mózgów na tematy, gdyby oznaczało to wstrząsnięcie widmem nieuchronnej kradzieży tożsamości, która obecnie prześladuje nas wszystkich, niezależnie od tego, czy zdajemy sobie z tego sprawę, czy nie.
Zalecenia redaktorów
- Zoom właśnie naprawił poważną lukę w zabezpieczeniach na komputerze Mac. Oto dlaczego warto zaktualizować teraz
- Nvidia ostrzega właścicieli swoich procesorów graficznych przed niebezpieczną luką w zabezpieczeniach
- Czy Twój komputer jest bezpieczny? Foreshadow to luka w zabezpieczeniach, którą Intel powinien był przewidzieć
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
