Reuters a informat pe 6 februarie că Biroul pentru Protecția Financiară a Consumatorului, o agenție cheie responsabilă cu supravegherea financiară companii, neglijează ancheta sa cu privire la hack-ul Equifax care a compromis informațiile personale de milioane. CFPB nu a reușit să emită nicio citație sau să solicite vreo mărturie – și a refuzat cooperarea cu alte agenții precum Rezerva Federală.
Din păcate, aceasta nu este o întorsătură șocantă a evenimentelor.
Din păcate, aceasta nu este o întorsătură șocantă a evenimentelor. Diverse autorități de reglementare guvernamentale au impus amenzi companiilor care suferă breșe de securitate în trecut, iar o mână de eșecuri de securitate din trecut au costat într-adevăr companiile scump. Majoritatea, însă, supraviețuiesc nevătămați.
Legate de
- O defecțiune de securitate Google Chrome cu zi zero necesită să actualizați acum
- WPA3, a treia generație de securitate Wi-Fi, are un defect uriaș: tu
Două studii independente au confirmat acest lucru. Unu, condus de RAND Corporation, a constatat că majoritatea încălcărilor computerului costă o companie în jur de 200.000 USD. Aceasta este o cifră mică, chiar și pentru o afacere mică cu câteva zeci de angajați. Un alt studiu de la Universitatea Columbia a constatat că costul financiar al unei încălcări a securității cibernetice este, în medie, mai puțin de 0,1% din venitul anual al unei companii din Fortune 500.
Unde este bățul?
Morala este simplă – consecința unei încălcări a datelor nu este adesea suficient de mare pentru a face companiile să-și facă griji pentru securitate.
Acolo trebuie să intervină agențiile guvernamentale precum CFPB. Aceștia își pot pune degetele pe cântar, folosind amenzi pentru a se asigura că companiile văd consecințe reale din eșecul lor de a proteja consumatorii. În trecut, CFPB a pășit în acest rol, deși de obicei nu a făcut parte din acțiunile de aplicare care decurg din încălcări de securitate. Comisia Federală pentru Comerț este, de asemenea, implicată în multe cazuri, dar, de asemenea, rareori percepe o amendă suficient de mare pentru a avea vreo consecință reală pentru companiile în cauză.
Oferiți un permis Equifax? Administrația ar trebui să fie de partea consumatorilor și să se concentreze pe asigurarea unor hack-uri precum #EquifaxBreach nu se mai intampla. Factura mea cu @SenWarren ar fi un loc bun de început. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5 februarie 2018
Supravegherea guvernamentală tinde să fie laxă în Statele Unite, indiferent de problemă, dar securitatea cibernetică a încurajat în mod deosebit autoritățile de reglementare. De obicei, nu este clar cine este cel mai bine echipat pentru a gestiona o investigație, iar daunele cauzate de datele compromise nu sunt ușor de cuantificat.
În 2013, Yahoo a suferit cea mai mare breșă de date înregistrată până acum, expunând date despre toate cele trei miliarde de utilizatori. Ce pedeapsă este corectă pentru fiecare expunere? Contează gravitatea pierderii de date? Cum pot fi chiar cuantificate pierderile suferite de victime? Nimeni nu pare să fie de acord și, mai important, nici legea nu este de acord. Nu ajută cu nimic faptul că și consecințele pentru victime variază. În timp ce unora le-ar putea fi distrus creditul sau impozitele fraudate, alții nu vor fi deloc afectați și, de obicei, nu există nicio modalitate de a lega anumite încălcări cu problemele suferite de anumite victime.
Aceste complexități permit companiilor și altor organizații șansa de a evita responsabilitatea cu scuze slabe. Este exact ceea ce a făcut Equifax în urma hack-ului său, oferind victimelor monitorizare gratuită a furtului de identitate. Este un gest rezonabil și apreciat, dar nu merge suficient de departe pentru a proteja victimele. Monitorizarea nu oprește furtul de identitate pentru tine și nu rambursează ceea ce ai pierdut. Pur și simplu vă ajută să ridicați bucățile un pic mai repede decât ați putea altfel.
Încălcările zilnice de date nu trebuie să fie inevitabile
Există o singură soluție la problemă. Avem nevoie de legi noi, cuprinzătoare, care să tragă companiile la răspundere pentru încălcările de securitate.
The Legea privind protecția și compensarea în caz de încălcare a datelor din 2018 ar putea fi acea lege. Proiectul a fost prezentat congresului în ianuarie de senatorul Elizabeth Warren din Massachusetts și senatorul Mark Warner din Virginia înființează un Birou de securitate cibernetică, ca parte a FTC, care ar supraveghea securitatea datelor de raportare mari consumatori agentii. Acest nou birou ar trebui să fie notificat cu privire la orice încălcare în termen de 10 zile; în prezent, companiile așteaptă luni sau chiar ani înainte de a dezvălui o problemă.
În prezent, companiile așteaptă luni sau chiar ani înainte de a dezvălui o problemă.
Sunt, de asemenea, menționate penalități specifice, care pornesc de la 100 USD dacă numele și prenumele unui consumator sunt compromise, împreună cu cel puțin un element de informații de identificare personală. Se adaugă încă 50 USD pentru fiecare informație suplimentară scursă. Deși nu știm exact pe ce se bazează prețul acelor amenzi, este o schemă de sancțiuni care pare să ia lecții de la serviciile de date mobile și ISP-urile care adaugă penalități mari pentru date depășiri. Mai bine, jumătate din pedeapsa încasată ar fi restituită victimelor.
Acele penalități se adună. Hackul lui Equifax ar duce la o penalizare de aproximativ 1,5 miliarde de dolari. De fapt, amenda totală ar fi mai mare, dar o prevedere din proiectul de lege limitează maximul la un procent din veniturile unei companii. Equifax ar supraviețui fără îndoială unei astfel de amenzi – veniturile sale anuale sunt de 3,1 miliarde de dolari, până la urmă – dar este suficient de abruptă pentru a face orice companie să se gândească de două ori înainte de a slăbi în securitatea cibernetică.
Companiile au protestat împotriva proiectului de lege, desigur, și nu pare probabil să treacă de Congres. Cu toate acestea, aceasta este exact acțiunea necesară și ar trebui să ne unim cu toții în spatele unui impuls pentru o mai mare responsabilitate. Apariția aproape zilnică a unor breșe majore de securitate oferă o mulțime de muniție pentru această coloană. Dar m-aș bucura să petrec puțin mai mult timp gândind subiecte dacă ar însemna zdruncinarea spectrelor furtului de identitate iminent care ne bântuie în prezent pe toți, indiferent dacă știm sau nu.
Recomandările editorilor
- Zoom tocmai a remediat o defecțiune majoră de securitate pe Mac. Iată de ce ar trebui să actualizați acum
- Nvidia avertizează proprietarii GPU-urilor sale despre o vulnerabilitate de securitate periculoasă
- Este PC-ul în siguranță? Prefigurare este defectul de securitate pe care Intel ar fi trebuit să îl prezică
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
