A Reuters informou em 6 de fevereiro que o Consumer Financial Protection Bureau, uma agência importante responsável pela supervisão financeira empresas, está negligenciando sua investigação sobre o hack da Equifax que comprometeu as informações pessoais de milhões. O CFPB alegadamente não emitiu quaisquer intimações nem solicitou qualquer testemunho – e recuou na cooperação com outras agências como a Reserva Federal.
Infelizmente, esta não é uma reviravolta chocante.
Infelizmente, esta não é uma reviravolta chocante. Vários reguladores governamentais aplicaram multas contra empresas que sofrem violações de segurança no passado, e algumas falhas de segurança anteriores custaram caro às empresas. A maioria, no entanto, sobrevive ilesa.
Relacionado
- Uma falha de segurança de dia zero do Google Chrome exige que você atualize agora
- WPA3, a terceira geração de segurança Wi-Fi, tem uma falha gigante: você
Dois estudos independentes confirmaram isso. Um, conduzido pela RAND Corporation, descobriu que a maioria das violações de computadores custa a uma empresa cerca de US$ 200 mil. É um número pequeno, mesmo para uma pequena empresa com algumas dezenas de funcionários. Outro estudo da Universidade de Columbia descobriu que o o custo financeiro de uma violação de segurança cibernética é, em média, menos de 0,1% da receita anual de uma empresa Fortune 500.
Onde está o bastão?
A moral disto é simples: a consequência de uma violação de dados muitas vezes não é suficientemente elevada para fazer com que as empresas se preocupem com a segurança.
É aí que as agências governamentais como o CFPB precisam de intervir. Podem colocar o dedo na balança, aplicando multas para garantir que as empresas vejam as consequências reais da sua incapacidade de proteger os consumidores. No passado, o CFPB assumiu esse papel, embora normalmente não fizesse parte das ações de fiscalização decorrentes de violações de segurança. A Comissão Federal do Comércio também está envolvida em muitos casos, mas também raramente aplica uma multa suficientemente grande para representar qualquer consequência real para as empresas em questão.
Dando uma chance ao Equifax? A Administração deveria ficar do lado dos consumidores e se concentrar em garantir que hacks como o #EquifaxBreach não aconteça novamente. Minha conta com @SenWarren seria um bom lugar para começar. https://t.co/iJ4neRvjut
-Mark Warner (@MarkWarner) 5 de fevereiro de 2018
A supervisão governamental tende a ser frouxa nos Estados Unidos, independentemente do problema, mas a segurança cibernética deixa os reguladores particularmente irritados. Geralmente não está claro quem está mais bem equipado para lidar com uma investigação, e os danos causados pelos dados comprometidos não são fáceis de quantificar.
Em 2013, o Yahoo sofreu a maior violação de dados já registrada, expondo dados de todos os três bilhões de usuários. Qual punição é justa para cada exposição? A gravidade da perda de dados é importante? Como podem ser quantificadas as perdas sofridas pelas vítimas? Ninguém parece concordar e, mais importante, a lei também não concorda. Não ajuda que as consequências para as vítimas também variem. Embora alguns possam ter o seu crédito arruinado ou os seus impostos fraudados, outros não serão prejudicados de forma alguma, e normalmente não há forma de associar violações específicas aos problemas sofridos por vítimas específicas.
Estas complexidades permitem que as empresas e outras organizações tenham a oportunidade de se esquivar da responsabilidade com um escasso pedido de desculpas. Foi exatamente isso que a Equifax fez após seu hack, oferecendo às vítimas monitoramento gratuito de roubo de identidade. É um gesto razoável e apreciado, mas não vai suficientemente longe para proteger as vítimas. O monitoramento não impede o roubo de identidade para você e não reembolsa o que você perdeu. Isso apenas ajuda você a juntar os pedaços um pouco mais rapidamente do que faria de outra forma.
As violações diárias de dados não precisam ser inevitáveis
Só existe uma solução para o problema. Precisamos de leis novas e abrangentes que responsabilizem as empresas por violações de segurança.
O Lei de Proteção e Compensação contra Violação de Dados de 2018 poderia ser essa lei. Apresentado ao Congresso em janeiro pela senadora Elizabeth Warren, de Massachusetts, e pelo senador Mark Warner, da Virgínia, o projeto estabelece um Escritório de Segurança Cibernética, como parte da FTC, que supervisionaria a segurança dos dados de relatórios de grandes consumidores agências. Este novo escritório teria de ser notificado de qualquer violação no prazo de 10 dias; atualmente, as empresas esperam meses ou até anos antes de divulgar um problema.
Atualmente, as empresas esperam meses ou até anos antes de divulgar um problema.
Penalidades específicas também são observadas, começando em US$ 100 se o nome e o sobrenome do consumidor forem comprometidos, juntamente com pelo menos um item de informação de identificação pessoal. Um adicional de US$ 50 é acrescentado para cada informação adicional vazada. Embora não saibamos exatamente em que se baseia o preço dessas multas, trata-se de um esquema de penalidades isso parece tirar lições dos serviços de dados móveis e dos ISPs que impõem penalidades severas aos dados excedentes. Melhor ainda, metade da pena cobrada seria devolvida às vítimas.
Essas penalidades se somam. O hack da Equifax resultaria em uma multa de cerca de US$ 1,5 bilhão de dólares. Na verdade, o valor total da multa seria maior, mas um dispositivo do projeto de lei limita o máximo a um percentual do faturamento da empresa. A Equifax sobreviveria sem dúvida a tal multa – afinal, a sua receita anual é de 3,1 mil milhões de dólares – mas é suficientemente elevada para fazer qualquer empresa pensar duas vezes antes de afrouxar a segurança cibernética.
As empresas protestaram contra o projeto de lei, é claro, e não parece provável que ele seja aprovado no Congresso. No entanto, esta é exactamente a acção necessária e todos devemos apoiar um impulso no sentido de uma maior responsabilização. A ocorrência quase diária de grandes violações de segurança fornece bastante munição para esta coluna. Mas eu ficaria feliz em gastar um pouco mais de tempo pensando em tópicos se isso significasse abalar o espectro do roubo de identidade iminente que atualmente nos assombra a todos, quer saibamos disso ou não.
Recomendações dos Editores
- O Zoom acaba de corrigir uma grande falha de segurança no Mac. Veja por que você deve atualizar agora
- Nvidia alerta proprietários de suas GPUs sobre uma perigosa vulnerabilidade de segurança
- O seu PC está seguro? Foreshadow é a falha de segurança que a Intel deveria ter previsto
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
