Det rapporterade Reuters den 6 februari att Consumer Financial Protection Bureau, en viktig byrå som ansvarar för att övervaka finansiella företag, försummar sin utredning av Equifax-hacket som äventyrade den personliga informationen av miljoner. CFPB påstås ha misslyckats med att utfärda några stämningar eller begära något vittnesmål - och har backat samarbete med andra organ som Federal Reserve.
Tyvärr är detta inte en chockerande händelseutveckling.
Tyvärr är detta inte en chockerande händelseutveckling. Olika statliga tillsynsmyndigheter har tagit ut böter mot företag som lider säkerhetsintrång i det förflutna, och en handfull tidigare säkerhetsfel har verkligen kostat företag dyrt. De flesta klarar sig dock oskadda.
Relaterad
- Ett nolldagars säkerhetsfel i Google Chrome kräver att du uppdaterar nu
- WPA3, den tredje generationens Wi-Fi-säkerhet, har ett stort fel: Du
Två oberoende studier har bekräftat detta. Ett,
utförs av RAND Corporation, fann att de flesta datorintrång kostar ett företag runt 200 000 USD. Det är en liten siffra, även för ett litet företag med några dussin anställda. En annan studie från Columbia University fann att ekonomiska kostnaden för ett cybersäkerhetsbrott är, i genomsnitt mindre än 0,1 procent av ett Fortune 500-företags årliga intäkter.Var är pinnen?
Moralen i detta är enkel – konsekvensen av ett dataintrång är ofta inte tillräckligt hög för att få företag att oroa sig för säkerheten.
Det är där statliga myndigheter som CFPB måste gå in. De kan lägga fingrarna på vågen och använda böter för att se till att företag ser verkliga konsekvenser av att de inte skyddar konsumenterna. Tidigare har CFPB gått in i den rollen, även om det vanligtvis inte har varit en del av tillsynsåtgärder som härrör från säkerhetsöverträdelser. Federal Trade Commission är också inblandad i många fall, men den tar också sällan ut böter som är tillräckligt stora för att utgöra några verkliga konsekvenser för företagen i fråga.
Ge Equifax ett pass? Administrationen bör ställa sig på konsumenternas sida och fokusera på att se till att hacks som #EquifaxBreach inte hända igen. Min räkning med @SenWarren skulle vara ett bra ställe att börja. https://t.co/iJ4neRvjut
— Mark Warner (@MarkWarner) 5 februari 2018
Regeringens tillsyn tenderar att vara slapp i USA, oavsett frågan, men cybersäkerhet har tillsynsmyndigheterna särskilt irriterade. Det är vanligtvis oklart vem som är bäst rustad att hantera en utredning, och skadorna som orsakas av komprometterad data är inte lätt att kvantifiera.
Under 2013 drabbades Yahoo av det största dataintrånget som hittills registrerats, och exponerade data om alla tre miljarder användare. Vilket straff är rättvist för varje exponering? Spelar allvaret av dataförlusten någon roll? Hur kan man ens kvantifiera de förluster som offren lidit? Ingen verkar hålla med och, ännu viktigare, lagen håller inte heller med. Det hjälper inte att nedfallet för offren också varierar. Även om vissa kan få sin kredit förstörd eller att deras skatter blir lurade, kommer andra inte att skadas alls, och det finns vanligtvis inget sätt att koppla specifika intrång med de problem som drabbas av specifika offer.
Dessa komplexiteter ger företag och andra organisationer en chans att undvika ansvar med en mager ursäkt. Det är precis vad Equifax gjorde i kölvattnet av sitt hack genom att erbjuda offer gratis övervakning av identitetsstöld. Det är en rimlig och uppskattad gest, men den går inte tillräckligt långt för att skydda offren. Övervakning stoppar inte identitetsstöld för dig och ersätter inte det du har förlorat. Det hjälper dig bara att plocka upp bitarna av lite snabbare än du annars skulle kunna.
Dagliga dataintrång behöver inte vara oundvikliga
Det finns bara en lösning på problemet. Vi behöver nya, heltäckande lagar som håller företag ansvariga för säkerhetsintrång.
De Dataintrångsskydd och kompensationslagen från 2018 kan vara den lagen. Lagförslaget presenterades för kongressen i januari av senator Elizabeth Warren från Massachusetts och senator Mark Warner från Virginia. etablerar ett kontor för cybersäkerhet, som en del av FTC, som skulle övervaka datasäkerheten för stora konsumentrapporter byråer. Detta nya kontor måste underrättas om eventuella överträdelser inom 10 dagar; För närvarande väntar företag månader eller till och med år innan de avslöjar ett problem.
För närvarande väntar företag månader eller till och med år innan de avslöjar ett problem.
Specifika påföljder noteras också, från 100 USD om en konsuments för- och efternamn äventyras, tillsammans med minst en personligt identifierande information. Ytterligare 50 $ läggs på för varje ytterligare information som läckt. Även om vi inte vet exakt vad priset för dessa böter baseras på, är det ett straffsystem som verkar dra lärdomar från mobila datatjänster och internetleverantörer som lägger till hårda straff för data överskott. Ännu bättre, halva straffen som samlats in skulle ges tillbaka till offren.
Dessa straff räcker till. Equifax hack skulle resultera i en straffavgift på cirka 1,5 miljarder dollar. Faktum är att det totala bötesbeloppet skulle vara högre, men en bestämmelse i lagförslaget begränsar maxbeloppet till en procentandel av ett företags intäkter. Equifax skulle utan tvekan överleva en sådan böter – dess årliga omsättning är trots allt 3,1 miljarder dollar – men det är tillräckligt brant för att få vilket företag som helst att tänka två gånger innan de slarvar med cybersäkerhet.
Företag har protesterat mot lagförslaget, naturligtvis, och det verkar inte troligt att det går igenom kongressen. Ändå är detta exakt den åtgärd som behövs, och vi bör alla samla oss bakom en strävan efter större ansvarsskyldighet. Den nästan dagliga förekomsten av större säkerhetsintrång ger gott om ammunition för denna kolumn. Men jag skulle gärna spendera lite mer tid på att brainstorma ämnen om det innebar att skaka om spektra av förestående identitetsstölder som för närvarande förföljer oss alla, vare sig vi vet det eller inte.
Redaktörens rekommendationer
- Zoom har precis åtgärdat ett stort säkerhetsbrist på Mac. Här är varför du bör uppdatera nu
- Nvidia varnar ägare av sina GPU: er om en farlig säkerhetsrisk
- Är din dator säker? Förespel är säkerhetsbristen Intel borde ha förutspått
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
