Informovala o tom 6. februára agentúra Reuters že Consumer Financial Protection Bureau, kľúčová agentúra zodpovedná za finančný dohľad spoločnosti, zanedbáva vyšetrovanie hacku Equifax, ktorý kompromitoval osobné informácie miliónov. CFPB údajne nevydala žiadne predvolania ani nepožiadala o svedectvo – a odstúpila od spolupráce s inými agentúrami, ako je Federálny rezervný systém.
Žiaľ, nejde o šokujúci zvrat udalostí.
Žiaľ, nejde o šokujúci zvrat udalostí. Rôzni vládni regulátori uložili pokuty spoločnostiam, ktoré trpia narušenia bezpečnosti v minulostia niekoľko minulých bezpečnostných zlyhaní stálo spoločnosti skutočne veľa. Väčšina však prežije bez ujmy.
Súvisiace
- Chyba zabezpečenia prehliadača Google Chrome, ktorá sa objavila v nultom dni, vyžaduje, aby ste ju aktualizovali hneď
- WPA3, tretia generácia zabezpečenia Wi-Fi, má jednu obrovskú chybu: vás
Potvrdili to dve nezávislé štúdie. jeden,
vykonávaná spoločnosťou RAND Corporation, zistili, že väčšina narušení počítačov stojí spoločnosť okolo 200 000 dolárov. To je malé číslo, dokonca aj pre malý podnik s niekoľkými desiatkami zamestnancov. Ďalšia štúdia z Kolumbijskej univerzity zistila, že finančné náklady na porušenie kybernetickej bezpečnosti sú, v priemere menej ako 0,1 percenta ročného príjmu spoločnosti z rebríčka Fortune 500.kde je palica?
Morálka je jednoduchá – dôsledok narušenia údajov často nie je dostatočne vysoký na to, aby sa spoločnosti obávali o bezpečnosť.
Tu musia zasiahnuť vládne agentúry ako CFPB. Môžu položiť prsty na misku váh a pomocou pokút zabezpečiť, aby spoločnosti videli skutočné dôsledky svojho zlyhania pri ochrane spotrebiteľov. V minulosti CFPB vstúpila do tejto úlohy, hoci zvyčajne nebola súčasťou donucovacích opatrení, ktoré vyplývajú z narušenia bezpečnosti. V mnohých prípadoch je zapojená aj Federálna obchodná komisia, ale aj ona len zriedka ukladá pokutu dostatočne vysokú na to, aby pre príslušné spoločnosti mala skutočný následok.
Dávate Equifax povolenie? Správa by sa mala dostať na stranu spotrebiteľov a zamerať sa na zabezpečenie podobných hackov #EquifaxBreach neopakuj sa. Môj účet s @SenWarren by bolo dobré začať. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5. február 2018
Vládny dohľad má v Spojených štátoch tendenciu byť laxný, bez ohľadu na problém, ale kybernetická bezpečnosť je obzvlášť znepokojená regulačnými orgánmi. Zvyčajne nie je jasné, kto je najlepšie vybavený na vedenie vyšetrovania, a škody spôsobené kompromitovanými údajmi nie je ľahké vyčísliť.
V roku 2013 spoločnosť Yahoo utrpela doteraz najväčší zaznamenaný únik údajov a odhalila údaje o všetkých troch miliardách používateľov. Aký trest je spravodlivý za každé vystavenie? Záleží na závažnosti straty údajov? Ako možno vôbec vyčísliť straty, ktoré utrpeli obete? Zdá sa, že nikto nesúhlasí, a čo je dôležitejšie, nesúhlasí ani zákon. Nepomáha, že dopad na obete sa tiež líši. Zatiaľ čo niektorým môže byť zruinovaný kredit alebo podvody na daniach, iným to neublíži vôbec a zvyčajne neexistuje spôsob, ako spojiť konkrétne porušenia s problémami, ktoré utrpeli konkrétne obete.
Tieto zložitosti umožňujú spoločnostiam a iným organizáciám vyhnúť sa zodpovednosti so skromným ospravedlnením. To je presne to, čo spoločnosť Equifax urobila po svojom hacknutí tým, že obetiam ponúkla bezplatné monitorovanie krádeže identity. Je to rozumné a oceňované gesto, ale nezachádza dostatočne ďaleko na ochranu obetí. Monitoring nezastaví krádež identity pre vás a nenahradí to, čo ste stratili. Len vám to pomôže pozbierať kúsky o niečo rýchlejšie, ako by ste inak mohli.
Denné úniky údajov nemusia byť nevyhnutné
Existuje len jedno riešenie problému. Potrebujeme nové, komplexné zákony, podľa ktorých budú spoločnosti zodpovedné za porušenia bezpečnosti.
The Zákon o ochrane a kompenzácii za porušenie údajov z roku 2018 môže byť tým zákonom. Návrh zákona, ktorý v januári predstavili na kongrese senátorka Elizabeth Warren z Massachusetts a senátor Mark Warner z Virginie, zriaďuje Úrad pre kybernetickú bezpečnosť ako súčasť FTC, ktorý by dohliadal na bezpečnosť údajov pri oznamovaní veľkých spotrebiteľov agentúr. Tento nový úrad by musel byť informovaný o akomkoľvek porušení do 10 dní; v súčasnosti spoločnosti čakajú mesiace alebo dokonca roky, kým odhalia problém.
V súčasnosti spoločnosti čakajú mesiace alebo dokonca roky, kým odhalia problém.
Zaznamenané sú aj špecifické sankcie, začínajúce na 100 USD, ak dôjde k prelomeniu mena a priezviska spotrebiteľa, spolu s aspoň jednou položkou osobných identifikačných údajov. Ďalších 50 dolárov je prichytených za každú ďalšiu uniknutú informáciu. Aj keď presne nevieme, na čom je založená cena týchto pokút, ide o sankčný systém Zdá sa, že to berie ponaučenie od mobilných dátových služieb a poskytovateľov internetových služieb, ktorí pridávajú vysoké pokuty za dáta prebytky. Ešte lepšie je, že polovica inkasovaného trestu by sa vrátila obetiam.
Tie tresty sa sčítavajú. Hack spoločnosti Equifax by viedol k pokute vo výške približne 1,5 miliardy dolárov. V skutočnosti by celková pokuta bola vyššia, ale ustanovenie v návrhu zákona obmedzuje maximum na percento z príjmu spoločnosti. Spoločnosť Equifax by takúto pokutu nepochybne prežila – jej ročný príjem je napokon 3,1 miliardy dolárov – ale je to dosť strmé na to, aby si každá spoločnosť dvakrát rozmyslela, či ochabne od kybernetickej bezpečnosti.
Spoločnosti proti návrhu zákona, samozrejme, protestovali a nezdá sa, že by prešiel Kongresom. Napriek tomu je to presne tá akcia, ktorá je potrebná a všetci by sme sa mali zhromaždiť za presadzovaním väčšej zodpovednosti. Takmer každodenný výskyt veľkých porušení bezpečnosti poskytuje pre túto kolónu dostatok munície. Ale rád by som strávil trochu viac času brainstormingom o témach, ak by to znamenalo otriasť spektrom hroziacej krádeže identity, ktorá nás všetkých v súčasnosti prenasleduje, či už o tom vieme alebo nie.
Odporúčania redaktorov
- Zoom práve opravil veľkú bezpečnostnú chybu na Macu. Tu je dôvod, prečo by ste mali aktualizovať teraz
- Nvidia varuje majiteľov svojich GPU pred nebezpečnou bezpečnostnou zraniteľnosťou
- Je váš počítač bezpečný? Predzvesťou je bezpečnostná chyba, ktorú mal Intel predvídať
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.
