Reuters je poročal 6. februarja da Urad za finančno zaščito potrošnikov, ključna agencija, odgovorna za nadzor nad finančnimi podjetij, zanemarja preiskavo vdora v Equifax, ki je ogrozil osebne podatke milijonov. CFPB domnevno ni izdal nobenega sodnega poziva ali zahteval kakršnega koli pričanja - in je prekinil sodelovanje z drugimi agencijami, kot je Federal Reserve.
Na žalost to ni šokanten razplet dogodkov.
Na žalost to ni šokanten razplet dogodkov. Različni vladni regulatorji so prizadetim podjetjem naložili globe kršitve varnosti v preteklosti, in peščica preteklih varnostnih napak je podjetja res drago stala. Večina pa jih preživi nepoškodovanih.
Povezano
- Varnostna napaka Google Chroma ničelnega dne zahteva, da posodobite zdaj
- WPA3, tretja generacija varnosti Wi-Fi, ima eno veliko napako: vas
Dve neodvisni študiji sta to potrdili. ena, izvaja korporacija RAND, je ugotovil, da večina računalniških vdorov podjetje stane okoli 200.000 USD. To je majhna številka, tudi za majhno podjetje z nekaj deset zaposlenimi. Druga študija univerze Columbia je pokazala, da
finančni strošek kršitve kibernetske varnosti jepovprečno manj kot 0,1 odstotka letnega prihodka podjetja s seznama Fortune 500.Kje je palica?
Morala tega je preprosta – posledice kršitve podatkov pogosto niso dovolj visoke, da bi podjetja skrbela za varnost.
Tu morajo posredovati vladne agencije, kot je CFPB. Svoje prste lahko postavijo na tehtnico in z denarnimi kaznimi zagotovijo, da podjetja vidijo resnične posledice svojega neuspeha pri zaščiti potrošnikov. V preteklosti je CFPB nastopil v tej vlogi, čeprav običajno ni bil del izvršilnih ukrepov, ki izhajajo iz kršitev varnosti. Zvezna komisija za trgovino je prav tako vpletena v številne primere, vendar tudi ta le redko naloži dovolj visoko kazen, da bi imela kakršne koli resnične posledice za zadevna podjetja.
Dati Equifaxu prepustnico? Uprava bi se morala postaviti na stran potrošnikov in se osredotočiti na zagotavljanje takšnih vdorov #EquifaxBreach ne ponovi se Moj račun z @SenWarren bi bilo dobro mesto za začetek. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5. februar 2018
Vladni nadzor je v Združenih državah običajno ohlapen, ne glede na težavo, a kibernetska varnost še posebej moti regulatorje. Običajno ni jasno, kdo je najbolje opremljen za vodenje preiskave, in škode, ki jo povzročijo ogroženi podatki, ni enostavno količinsko opredeliti.
Leta 2013 je Yahoo utrpel največjo kršitev podatkov doslej, ko so bili razkriti podatki vseh treh milijard uporabnikov. Kakšna kazen je pravična za vsako izpostavljenost? Ali je resnost izgube podatkov pomembna? Kako je sploh mogoče kvantificirati izgube, ki so jih utrpele žrtve? Zdi se, da se nihče ne strinja in, kar je še pomembneje, tudi zakon se ne strinja. Nič ne pomaga, da so tudi posledice za žrtve različne. Nekaterim lahko uničijo kredit ali pogoljufajo davke, drugi ne bodo oškodovani in običajno ni mogoče povezati posebnih kršitev s težavami, ki jih imajo določene žrtve.
Te zapletenosti omogočajo podjetjem in drugim organizacijam, da se izognejo odgovornosti s skromnim opravičilom. Točno to je storil Equifax po svojem vdoru, ko je žrtvam ponudil brezplačno spremljanje kraje identitete. To je razumna in cenjena gesta, vendar ne gre dovolj daleč za zaščito žrtev. Spremljanje vam ne prepreči kraje identitete in vam ne povrne izgubljenega. Pomaga vam le, da poberete koščke nekoliko hitreje, kot bi sicer.
Ni nujno, da so dnevne kršitve podatkov neizogibne
Obstaja samo ena rešitev problema. Potrebujemo nove, celovite zakone, po katerih bodo podjetja odgovorna za kršitve varnosti.
The Zakon o varstvu podatkov in odškodninah iz leta 2018 bi lahko bil ta zakon. Predlog zakona sta kongresu januarja predstavila senatorka Elizabeth Warren iz Massachusettsa in senator Mark Warner iz Virginije. ustanovi Urad za kibernetsko varnost kot del FTC, ki bi nadzoroval varnost podatkov pri poročanju velikih potrošnikov agencije. Ta novi urad bi moral biti o vsaki kršitvi obveščen v 10 dneh; trenutno podjetja čakajo mesece ali celo leta, preden razkrijejo težavo.
Trenutno podjetja čakajo mesece ali celo leta, preden razkrijejo težavo.
Omenjene so tudi posebne kazni, ki se začnejo pri 100 USD, če sta ogrožena potrošnikovo ime in priimek, skupaj z vsaj enim elementom osebnih podatkov. Dodatnih 50 $ se prišteje za vsak dodatni delček razkrite informacije. Čeprav ne vemo natančno, na čem temelji cena teh kazni, gre za shemo kazni zdi se, da se to uči od mobilnih podatkovnih storitev in ponudnikov internetnih storitev, ki dodajajo visoke kazni za podatke presežki. Še bolje, polovico pobrane kazni bi vrnili oškodovancem.
Te kazni se seštejejo. Equifaxov vdor bi povzročil kazen v višini približno 1,5 milijarde dolarjev. Pravzaprav bi bila skupna kazen višja, vendar določba v predlogu zakona omejuje najvišjo vrednost na odstotek prihodkov podjetja. Equifax bi nedvomno preživel takšno kazen - njegov letni prihodek je navsezadnje 3,1 milijarde dolarjev - vendar je dovolj strma, da vsako podjetje dvakrat premisli, preden popusti glede kibernetske varnosti.
Podjetja so seveda protestirala proti zakonu in zdi se, da ni verjetno, da bo sprejel kongres. Vendar je to ravno tisto dejanje, ki je potrebno, in vsi bi se morali zbrati za prizadevanjem za večjo odgovornost. Skoraj vsakodnevno pojavljanje večjih kršitev varnosti zagotavlja veliko streliva za ta stolpec. Vendar bi z veseljem porabil malo več časa za razmišljanje o temah, če bi to pomenilo pretres spektra neizbežne kraje identitete, ki nas trenutno vse preganja, ne glede na to, ali se tega zavedamo ali ne.
Priporočila urednikov
- Zoom je pravkar odpravil veliko varnostno napako na Macu. Evo, zakaj bi morali posodobiti zdaj
- Nvidia lastnike svojih grafičnih procesorjev opozarja na nevarno varnostno ranljivost
- Je vaš računalnik varen? Foreshadow je varnostna napaka, ki bi jo Intel moral predvideti
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
