(in) Güvenli: Şirketler Güvenlik İhlallerinden Sorumlu Olmalı

güvenli olmayan güvenlik ihlali cfpb
Ted Eytan/Flickr
(güvensiz hızla yükselen siber güvenlik konusunu ele alan haftalık bir köşe yazısıdır.

Reuters'in 6 Şubat tarihli haberi Finansal denetimden sorumlu kilit bir kurum olan Tüketici Mali Koruma Bürosu'nun kişisel bilgileri ele geçiren Equifax hackine ilişkin soruşturmasını ihmal ediyor milyonlarca. İddiaya göre CFPB herhangi bir mahkeme celbi yayınlamadı veya herhangi bir ifade talep etmedi ve Federal Reserve gibi diğer kurumlarla işbirliğinden geri adım attı.

Maalesef bu şok edici bir gelişme değil.

Maalesef bu şok edici bir gelişme değil. Çeşitli hükümet düzenleyicileri bu durumdan zarar gören şirketlere para cezası uyguladı geçmişteki güvenlik ihlallerive geçmiş birkaç güvenlik hatası gerçekten de şirketlere pahalıya mal oldu. Ancak çoğu zarar görmeden hayatta kalıyor.

İlgili

  • Sıfır gün Google Chrome güvenlik kusuru, hemen güncelleme yapmanızı gerektiriyor
  • Üçüncü nesil Wi-Fi güvenliği olan WPA3'ün dev bir kusuru var:

İki bağımsız çalışma bunu doğruladı. Bir, RAND Corporation tarafından yürütülen

, çoğu bilgisayar ihlalinin bir şirkete yaklaşık 200.000 dolara mal olduğunu buldu. Bu, birkaç düzine çalışanı olan küçük bir işletme için bile küçük bir rakam. Columbia Üniversitesi'nin başka bir araştırması şunu ortaya çıkardı: Siber güvenlik ihlalinin finansal maliyetiortalama olarak bir Fortune 500 şirketinin yıllık gelirinin yüzde 0,1'inden azı.

Çubuk nerede?

Bunun mantığı basittir; bir veri ihlalinin sonucu genellikle şirketlerin güvenlik konusunda endişelenmesine neden olacak kadar yüksek değildir.

CFPB gibi devlet kurumlarının devreye girmesi gereken yer burasıdır. Şirketlerin tüketicileri korumadaki başarısızlıklarının gerçek sonuçlarını görmelerini sağlamak için para cezalarını kullanarak parmaklarını terazinin üzerine koyabilirler. Geçmişte CFPB bu rolü üstlendi, ancak genellikle güvenlik ihlallerinden kaynaklanan yaptırım eylemlerinin bir parçası değildi. Federal Ticaret Komisyonu da pek çok davaya müdahil oluyor ancak o da nadiren söz konusu şirketler için gerçek bir sonuç doğuracak kadar büyük bir para cezası uyguluyor.

Equifax'a izin mi veriyorsunuz? Yönetim tüketicilerin yanında yer almalı ve bunun gibi hilelerin yapılmasını sağlamaya odaklanmalıdır. #EquifaxBreach bir daha olmasın. Faturam ile @SenWarren başlamak için iyi bir yer olacaktır. https://t.co/iJ4neRvjut

— Mark Warner (@MarkWarner) 5 Şubat 2018

Sorun ne olursa olsun, ABD'de hükümet denetimi gevşek olma eğiliminde; ancak siber güvenlik, düzenleyicileri özellikle rahatsız ediyor. Bir soruşturmayı yürütmek için kimin en iyi donanıma sahip olduğu genellikle belirsizdir ve ele geçirilen verilerin neden olduğu hasarın ölçülmesi kolay değildir.

2013 yılında Yahoo şimdiye kadar kaydedilen en büyük veri ihlaline maruz kaldı ve üç milyar kullanıcıya ait veriler açığa çıktı. Her maruz kalma için hangi ceza adildir? Veri kaybının ciddiyeti önemli mi? Mağdurların uğradığı kayıplar nasıl ölçülebilir? Kimse aynı fikirde değil gibi görünüyor ve daha da önemlisi kanun da aynı fikirde değil. Kurbanlara yönelik sonuçların da değişmesinin bir faydası yok. Bazılarının kredileri mahvolabilir veya vergileri dolandırılabilirken, diğerleri hiçbir şekilde zarar görmez ve genellikle belirli ihlalleri belirli mağdurların yaşadığı sorunlarla ilişkilendirmenin bir yolu yoktur.

Bu karmaşıklıklar, şirketlere ve diğer kuruluşlara yetersiz bir özürle sorumluluktan kaçma şansı veriyor. Equifax'ın hacklenmesinin ardından kurbanlara ücretsiz kimlik hırsızlığı izleme olanağı sunarak yaptığı da tam olarak buydu. Bu makul ve takdir edilen bir jest, ancak mağdurları korumaya yetmiyor. İzleme sizin için kimlik hırsızlığını durdurmaz ve kaybettiklerinizi telafi etmez. Bu sadece parçaları normalde olduğundan biraz daha hızlı toplamanıza yardımcı olur.

Günlük veri ihlalleri kaçınılmaz olmak zorunda değil

Sorunun tek bir çözümü var. Şirketleri güvenlik ihlallerinden sorumlu tutacak yeni ve kapsamlı yasalara ihtiyacımız var.

2018 Veri İhlalini Koruma ve Tazminat Yasası bu kanun olabilir. Tasarı, Ocak ayında Massachusetts Senatörü Elizabeth Warren ve Virginia Senatörü Mark Warner tarafından kongreye sunuldu. FTC'nin bir parçası olarak büyük tüketici raporlamasının veri güvenliğini denetleyecek bir Siber Güvenlik Ofisi kurar ajanslar. Bu yeni ofise herhangi bir ihlalin 10 gün içinde bildirilmesi gerekecek; şu anda şirketler bir sorunu açıklamadan önce aylarca, hatta yıllarca bekliyorlar.

Şu anda şirketler bir sorunu açıklamadan önce aylarca, hatta yıllarca bekliyorlar.

Tüketicinin adının ve soyadının ve en az bir kişisel kimlik bilgisinin ifşa edilmesi halinde 100 dolardan başlayan özel cezalar da uygulanıyor. Sızan her ek bilgi için ek olarak 50 dolar ekleniyor. Bu cezaların bedelinin tam olarak neye dayandığını bilmesek de bu bir ceza düzenidir. Bu, mobil veri hizmetlerinden ve verilere ağır cezalar uygulayan İSS'lerden ders almış gibi görünüyor fazlalıklar. Daha da iyisi, toplanan cezanın yarısı mağdurlara iade edilecek.

Bu cezalar artıyor. Equifax'ın hacklenmesi yaklaşık 1,5 milyar dolarlık bir cezayla sonuçlanacak. Aslında toplam ceza daha yüksek olurdu ancak yasa tasarısındaki bir hüküm, maksimum cezayı şirketin gelirinin belli bir yüzdesi ile sınırlandırıyor. Equifax'in böyle bir cezayı atlatacağından şüphe yok - sonuçta yıllık geliri 3,1 milyar dolar - ancak bu, herhangi bir şirketin siber güvenlik konusunda gevşemeden önce iki kez düşünmesini sağlayacak kadar yüksek.

Şirketler elbette tasarıyı protesto etti ve yasanın Kongre'den geçmesi pek mümkün görünmüyor. Ancak bu tam olarak ihtiyaç duyulan eylemdir ve hepimiz daha fazla sorumluluk alma çabasının arkasında durmalıyız. Neredeyse her gün meydana gelen büyük güvenlik ihlalleri bu sütuna bol miktarda cephane sağlıyor. Ancak, bilsek de bilmesek de şu anda hepimizin peşini bırakmayan, eli kulağında olan kimlik hırsızlığı spektrumunu sarsmak anlamına geliyorsa, konularda beyin fırtınası yapmak için biraz daha zaman harcamaktan memnuniyet duyarım.

Editörlerin Önerileri

  • Zoom, Mac'teki büyük bir güvenlik açığını düzeltti. İşte bu yüzden şimdi güncellemelisiniz
  • Nvidia, GPU sahiplerini tehlikeli bir güvenlik açığı konusunda uyarıyor
  • PC'niz güvende mi? Intel'in öngörmesi gereken güvenlik kusurunun habercisi

Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön bakışlarla okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.