Ројтерс је известио 6. фебруара да је Биро за финансијску заштиту потрошача, кључна агенција одговорна за надзор финансијских компаније, занемарује своју истрагу о хаку Екуифак који је компромитовао личне податке од милиона. ЦФПБ наводно није издао никакав судски позив или затражио било какво сведочење - и одустао је од сарадње са другим агенцијама попут Федералних резерви.
Нажалост, ово није шокантан развој догађаја.
Нажалост, ово није шокантан развој догађаја. Различити државни регулатори наметнули су новчане казне компанијама које трпе кршења безбедности у прошлости, а неколико прошлих сигурносних грешака заиста је скупо коштало компаније. Већина, међутим, преживи неповређена.
Повезан
- Безбедносна грешка Гоогле Цхроме-а нултог дана захтева да ажурирате одмах
- ВПА3, трећа генерација Ви-Фи безбедности, има једну огромну ману: Ви
Две независне студије су то потврдиле. Један, коју спроводи РАНД Цорпоратион
, открили су да већина компјутерских повреда кошта компанију око 200.000 долара. То је мала цифра, чак и за мало предузеће са неколико десетина запослених. Друга студија са Универзитета Колумбија показала је да финансијски трошак нарушавања сајбер безбедности је, у просеку, мање од 0,1 одсто годишњег прихода компаније са листе Фортуне 500.Где је штап?
Морал овога је једноставан - последица повреде података често није довољно висока да би компаније забринуле за безбедност.
Ту се морају укључити владине агенције попут ЦФПБ-а. Они могу ставити прсте на вагу, користећи новчане казне како би се уверили да компаније виде стварне последице њиховог неуспеха да заштите потрошаче. У прошлости, ЦФПБ је ступио у ту улогу, иако обично није био део принудних радњи које проистичу из кршења безбедности. Федерална трговинска комисија је такође укључена у многе случајеве, али и она ретко наплаћује довољно велике новчане казне да би представљале било какву стварну последицу за компаније о којима је реч.
Дајеш Екуифак-у пропусницу? Администрација треба да стане на страну потрошача и да се усредсреди на обезбеђивање хакова попут #ЕкуифакБреацх да се не понови. Мој рачун са @СенВаррен било би добро место за почетак. https://t.co/iJ4neRvjut
— Марк Варнер (@МаркВарнер) 5. фебруара 2018. године
Владин надзор обично је слаб у Сједињеним Државама, без обзира на питање, али сајбер безбедност је посебно узнемирила регулаторе. Обично није јасно ко је најбоље опремљен да води истрагу, а штету узроковану компромитованим подацима није лако квантификовати.
У 2013. Иахоо је претрпео највећу кршење података до сада, откривши податке о све три милијарде корисника. Која је казна правична за свако излагање? Да ли је озбиљност губитка података битна? Како се губици које су претрпеле жртве уопште могу квантификовати? Чини се да се нико не слаже и, што је још важније, ни закон се не слаже. Не помаже ни то што се последице за жртве такође разликују. Док некима може бити уништен кредит или преварени порези, други неће уопште бити оштећени, а обично не постоји начин да се конкретна кршења повезују са проблемима које трпе одређене жртве.
Ова сложеност омогућава компанијама и другим организацијама шансу да избегну одговорност уз оскудно извињење. То је управо оно што је Екуифак урадио након свог хаковања нудећи жртвама бесплатно праћење крађе идентитета. То је разуман и цењен гест, али не иде довољно далеко да заштити жртве. Надгледање не зауставља крађу идентитета за вас и не надокнађује оно што сте изгубили. То вам само помаже да покупите делове мало брже него што бисте иначе могли.
Свакодневне повреде података не морају бити неизбежне
Постоји само једно решење за проблем. Потребни су нам нови, свеобухватни закони који компаније позивају на одговорност за кршење безбедности.
Тхе Закон о заштити од кршења података и обештећењу из 2018 могао би бити тај закон. Представљен Конгресу у јануару од стране сенаторке Елизабет Ворен из Масачусетса и сенатора Марка Ворнера из Вирџиније, закон оснива Канцеларију за сајбер безбедност, као део ФТЦ-а, која би надгледала безбедност података великих потрошачких извештаја агенције. Ова нова канцеларија би морала да буде обавештена о сваком кршењу у року од 10 дана; тренутно компаније чекају месецима или чак годинама пре него што открију проблем.
Тренутно компаније чекају месецима или чак годинама пре него што открију проблем.
Наведене су и посебне казне, почевши од 100 долара ако су име и презиме потрошача угрожени, заједно са најмање једном особом која идентификује податке. Додатних 50 долара се додаје за сваки додатни део информација који процури. Иако не знамо тачно на чему се заснива цена тих казни, то је шема казни то изгледа извлачи поуке из мобилних услуга преноса података и ИСП-а који додају стрме казне за податке прекомерности. Још боље, половина наплаћене казне би била враћена жртвама.
Те казне се сабирају. Екуифак-ов хак би резултирао казном од око 1,5 милијарди долара. У ствари, укупна казна би била већа, али одредба у закону ограничава максимум на проценат прихода компаније. Екуифак би без сумње преживео такву казну - његов годишњи приход је ипак 3,1 милијарду долара - али је довољно стрм да натера било коју компанију двапут да размисли пре него што одустане од сајбер безбедности.
Компаније су протестовале против закона, наравно, и изгледа да неће проћи Конгрес. Ипак, то је управо акција која је потребна и сви бисмо се требали окупити иза гурања за већу одговорност. Скоро свакодневна појава великих пропуста у безбедности обезбеђује доста муниције за ову колону. Али био бих срећан да проведем мало више времена размишљајући о темама ако би то значило потресање спектра непосредне крађе идентитета која нас тренутно све прогања, знали ми то или не.
Препоруке уредника
- Зоом је управо поправио велики безбедносни пропуст на Мац-у. Ево зашто би требало да ажурирате сада
- Нвидиа упозорава власнике својих ГПУ-а на опасну сигурносну рањивост
- Да ли је ваш рачунар безбедан? Форесхадов је безбедносна грешка коју је Интел требало да предвиди
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.