รอยเตอร์รายงานเมื่อวันที่ 6 กุมภาพันธ์ ว่าสำนักงานคุ้มครองผู้บริโภคทางการเงินซึ่งเป็นหน่วยงานหลักที่รับผิดชอบในการกำกับดูแลทางการเงิน บริษัทต่างๆ กำลังละเลยการสอบสวนการแฮ็ก Equifax ที่ทำให้ข้อมูลส่วนบุคคลเสียหาย ของล้าน CFPB ถูกกล่าวหาว่าล้มเหลวในการออกหมายศาลหรือขอคำให้การใดๆ และได้ปฏิเสธความร่วมมือกับหน่วยงานอื่นๆ เช่น Federal Reserve
น่าเศร้าที่นี่ไม่ใช่เหตุการณ์พลิกผันที่น่าตกใจ
น่าเศร้าที่นี่ไม่ใช่เหตุการณ์พลิกผันที่น่าตกใจ หน่วยงานกำกับดูแลของรัฐบาลหลายแห่งได้เรียกเก็บค่าปรับจากบริษัทที่ได้รับผลกระทบ การละเมิดความปลอดภัยในอดีตและความล้มเหลวด้านความปลอดภัยในอดีตจำนวนหนึ่งทำให้บริษัทต้องสูญเสียอย่างมหาศาล อย่างไรก็ตาม ส่วนใหญ่รอดมาได้โดยไม่ได้รับบาดเจ็บ
ที่เกี่ยวข้อง
- ข้อบกพร่องด้านความปลอดภัยของ Google Chrome แบบ Zero-day กำหนดให้คุณต้องอัปเดตทันที
- WPA3 ซึ่งเป็นระบบรักษาความปลอดภัย Wi-Fi รุ่นที่สาม มีข้อบกพร่องใหญ่ประการหนึ่ง: คุณ
การศึกษาอิสระสองฉบับได้ยืนยันเรื่องนี้ หนึ่ง,
ดำเนินการโดย RAND Corporationพบว่าการละเมิดคอมพิวเตอร์ส่วนใหญ่ทำให้บริษัทต้องเสียเงินประมาณ 200,000 ดอลลาร์ นั่นเป็นตัวเลขเพียงเล็กน้อย แม้แต่สำหรับธุรกิจขนาดเล็กที่มีพนักงานไม่กี่สิบคนก็ตาม การศึกษาอีกชิ้นหนึ่งจากมหาวิทยาลัยโคลัมเบียพบว่า ต้นทุนทางการเงินของการละเมิดความปลอดภัยทางไซเบอร์คือโดยเฉลี่ยน้อยกว่า 0.1 เปอร์เซ็นต์ของรายได้ต่อปีของบริษัทที่ติดอันดับ Fortune 500ไม้อยู่ที่ไหน?
คุณธรรมของสิ่งนี้นั้นเรียบง่าย ผลที่ตามมาของการละเมิดข้อมูลมักจะไม่สูงพอที่จะทำให้บริษัทกังวลเกี่ยวกับความปลอดภัย
นั่นคือสิ่งที่หน่วยงานของรัฐเช่น CFPB จำเป็นต้องเข้ามามีส่วนร่วม พวกเขาสามารถวางนิ้วลงบนตาชั่งได้ โดยใช้ค่าปรับเพื่อให้แน่ใจว่าบริษัทต่างๆ จะได้เห็นผลลัพธ์ที่แท้จริงจากความล้มเหลวในการปกป้องผู้บริโภค ในอดีต CFPB ได้ก้าวเข้าสู่บทบาทดังกล่าว แม้ว่าโดยปกติจะไม่ได้เป็นส่วนหนึ่งของการดำเนินการบังคับใช้ที่เกิดจากการละเมิดความปลอดภัยก็ตาม คณะกรรมาธิการการค้าของรัฐบาลกลางมีส่วนเกี่ยวข้องในหลายกรณี แต่ก็แทบจะไม่มีการเรียกเก็บค่าปรับที่มากพอที่จะก่อให้เกิดผลที่แท้จริงต่อบริษัทที่เป็นปัญหา
ให้ Equifax ผ่านหรือไม่? ฝ่ายบริหารควรเข้าข้างผู้บริโภคและมุ่งเน้นไปที่การตรวจสอบให้แน่ใจว่ามีการแฮ็กเช่นนี้ #EquifaxBreach อย่าเกิดขึ้นอีก บิลของฉันด้วย @เซนวอร์เรน จะเป็นจุดเริ่มต้นที่ดี https://t.co/iJ4neRvjut
— มาร์ค วอร์เนอร์ (@MarkWarner) 5 กุมภาพันธ์ 2018
การกำกับดูแลของรัฐบาลมีแนวโน้มที่จะหละหลวมในสหรัฐอเมริกา ไม่ว่าจะเป็นปัญหาใดก็ตาม แต่ความปลอดภัยทางไซเบอร์มีหน่วยงานกำกับดูแลที่ก่อกวนเป็นพิเศษ โดยทั่วไปจะยังไม่ชัดเจนว่าใครคือผู้ที่พร้อมจะรับมือกับการสืบสวนได้ดีที่สุด และความเสียหายที่เกิดจากข้อมูลที่ถูกบุกรุกนั้นไม่ใช่เรื่องง่ายที่จะระบุจำนวน
ในปี 2013 Yahoo ประสบปัญหาการละเมิดข้อมูลครั้งใหญ่ที่สุดเท่าที่เคยมีมา โดยเปิดเผยข้อมูลของผู้ใช้ทั้ง 3 พันล้านคน การลงโทษใดที่ยุติธรรมสำหรับการเปิดเผยแต่ละครั้ง? ความร้ายแรงของการสูญเสียข้อมูลมีความสำคัญหรือไม่? ความสูญเสียที่เหยื่อได้รับสามารถวัดปริมาณได้อย่างไร? ดูเหมือนจะไม่มีใครเห็นด้วย และที่สำคัญกว่านั้น กฎหมายก็ไม่เห็นด้วยเช่นกัน มันไม่ได้ช่วยให้ผลกระทบที่ตกเป็นเหยื่อแตกต่างกันไป แม้ว่าบางคนอาจสูญเสียเครดิตหรือถูกฉ้อโกงภาษี แต่บางคนก็ไม่ได้รับอันตรายแต่อย่างใด และโดยปกติแล้วไม่มีทางที่จะเชื่อมโยงการละเมิดเฉพาะกับปัญหาที่เหยื่อบางรายได้รับ
ความซับซ้อนเหล่านี้ทำให้บริษัทและองค์กรอื่นๆ มีโอกาสที่จะหลบเลี่ยงความรับผิดชอบด้วยการขอโทษเพียงเล็กน้อย นั่นคือสิ่งที่ Equifax ทำหลังจากการแฮ็กโดยเสนอการติดตามการโจรกรรมข้อมูลส่วนตัวแก่เหยื่อฟรี มันเป็นการกระทำที่สมเหตุสมผลและน่าชื่นชม แต่ก็ไม่ได้ไปไกลพอที่จะปกป้องเหยื่อได้ การตรวจสอบไม่ได้หยุดการขโมยข้อมูลส่วนตัวสำหรับคุณ และจะไม่ชดใช้สิ่งที่คุณสูญเสียไป มันเพียงช่วยให้คุณหยิบชิ้นส่วนได้เร็วกว่าที่คุณคิดเล็กน้อย
การละเมิดข้อมูลรายวันไม่จำเป็นต้องหลีกเลี่ยงไม่ได้
มีวิธีแก้ไขปัญหาเพียงทางเดียวเท่านั้น เราต้องการกฎหมายฉบับใหม่ที่ครอบคลุมซึ่งให้บริษัทต่างๆ ต้องรับผิดชอบต่อการละเมิดความปลอดภัย
ที่ พระราชบัญญัติการป้องกันการละเมิดข้อมูลและการชดเชยปี 2018 อาจเป็นกฎหมายนั้น ได้รับการแนะนำให้รู้จักกับสภาคองเกรสในเดือนมกราคมโดยวุฒิสมาชิกเอลิซาเบธ วอร์เรน แห่งแมสซาชูเซตส์ และวุฒิสมาชิกมาร์ค วอร์เนอร์ แห่งเวอร์จิเนีย ร่างกฎหมายดังกล่าว จัดตั้งสำนักงานความปลอดภัยทางไซเบอร์โดยเป็นส่วนหนึ่งของ FTC ซึ่งจะดูแลความปลอดภัยของข้อมูลการรายงานผู้บริโภครายใหญ่ หน่วยงาน สำนักงานแห่งใหม่นี้จะต้องได้รับแจ้งถึงการละเมิดภายใน 10 วัน ในปัจจุบัน บริษัทต่างๆ รอเป็นเดือนหรือหลายปีก่อนที่จะเปิดเผยปัญหา
ในปัจจุบัน บริษัทต่างๆ รอเป็นเดือนหรือหลายปีก่อนที่จะเปิดเผยปัญหา
นอกจากนี้ยังมีการระบุบทลงโทษเฉพาะด้วย โดยเริ่มต้นที่ 100 ดอลลาร์หากชื่อและนามสกุลของผู้บริโภคถูกบุกรุก พร้อมด้วยข้อมูลระบุตัวตนส่วนบุคคลอย่างน้อยหนึ่งรายการ มีการหักเงินเพิ่มอีก 50 ดอลลาร์สำหรับข้อมูลเพิ่มเติมที่รั่วไหล แม้ว่าเราจะไม่ทราบแน่ชัดว่าค่าปรับเหล่านั้นอิงจากราคาเท่าใด แต่เป็นแผนการลงโทษ ที่ดูเหมือนว่าจะได้รับบทเรียนจากบริการข้อมูลมือถือและ ISP ที่เพิ่มบทลงโทษอันหนักหน่วงสำหรับข้อมูล ส่วนเกิน ยังดีกว่า ครึ่งหนึ่งของค่าปรับที่รวบรวมได้จะถูกคืนให้กับเหยื่อ
บทลงโทษเหล่านั้นก็เพิ่มขึ้น การแฮ็กของ Equifax จะส่งผลให้มีโทษปรับประมาณ 1.5 พันล้านดอลลาร์ ในความเป็นจริง ค่าปรับทั้งหมดจะสูงกว่านี้ แต่ข้อกำหนดในการเรียกเก็บเงินจะจำกัดจำนวนเงินสูงสุดไว้ที่เปอร์เซ็นต์ของรายได้ของบริษัท ไม่ต้องสงสัยเลยว่า Equifax จะสามารถรอดพ้นจากการถูกปรับดังกล่าวได้ โดยมีรายได้ต่อปีอยู่ที่ 3.1 พันล้านดอลลาร์ แต่มันก็สูงพอที่จะทำให้บริษัทใดๆ คิดทบทวนก่อนที่จะละเลยเรื่องความปลอดภัยทางไซเบอร์
แน่นอนว่าบริษัทต่างๆ ได้ประท้วงร่างกฎหมายดังกล่าว และดูเหมือนว่าจะไม่ผ่านสภาคองเกรส แต่นี่คือการดำเนินการที่จำเป็นอย่างยิ่ง และเราทุกคนควรรวมตัวกันอยู่เบื้องหลังการผลักดันความรับผิดชอบที่มากขึ้น การละเมิดความปลอดภัยที่สำคัญที่เกิดขึ้นเกือบทุกวันทำให้มีกระสุนมากมายสำหรับคอลัมน์นี้ แต่ฉันยินดีที่จะใช้เวลาเพิ่มอีกเล็กน้อยในการระดมความคิดในหัวข้อต่างๆ ถ้ามันหมายถึงการสั่นคลอนของการขโมยข้อมูลระบุตัวตนที่ใกล้เข้ามาซึ่งหลอกหลอนพวกเราทุกคน ไม่ว่าเราจะรู้หรือไม่ก็ตาม
คำแนะนำของบรรณาธิการ
- Zoom เพิ่งแก้ไขข้อบกพร่องด้านความปลอดภัยที่สำคัญบน Mac นี่คือเหตุผลที่คุณควรอัปเดตตอนนี้
- Nvidia เตือนเจ้าของ GPU เกี่ยวกับช่องโหว่ด้านความปลอดภัยที่เป็นอันตราย
- พีซีของคุณปลอดภัยหรือไม่? ลางบอกเหตุคือข้อบกพร่องด้านความปลอดภัยที่ Intel ควรคาดการณ์ไว้
อัพเกรดไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกแห่งเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการที่เจาะลึก และการแอบดูที่ไม่ซ้ำใคร
