De ce companiile care încalcă un secret ar putea fi un lucru bun
Cu bogăția de informații online, ne îngrijorăm cu toții despre posibile încălcări ale securității. Dar, potențial, aceste încălcări ar putea fi păstrate un secret în SUA.
Este rar o lună trece fără fără rumări de încălcări de date. Doar uita-te la Ashley Madison scurgeri Hackerii de la utilizatorii Ashley Madison, Vorbeste ca Stephen Hawking ... [Tech News Digest] Hackerii de la utilizatorii Ashley Madison, vorbesc ca Stephen Hawking ... [Tech News Digest] Cheaters sunt outed pe întuneric web, cum să vorbească Hawking, SUA păstrează controlul asupra ICANN, investesc în jocuri video prin Fig, vizionează Netflix de departe și ia egoism cu zombi. Citește mai mult, care a văzut detaliile contului despre soții / șoarecii care au fost victime ale traficului online. Este o afacere mare și are consecințe serioase Ashley Madison: Ce se întâmplă acum știm că ești un șictor Ashley Madison: Ce se întâmplă acum știm că ești un șiretos Site-ul Ashley Madison dating a fost recent hacked de hackeri care amenințau să scurgă întreaga bază de date cu excepția cazului în care site-ul este închis În această săptămână, baza de date a fost scursă. Indiscrețiile tale sunt pe cale să devină publice? Citeste mai mult . Utilizatorii de AdultFriend Finder au avut dureri de cap asemănătoare Dating Site Hack: Adult FriendFinder Hack lasă pe utilizatori îngrijorați de site-uri de dating Hack: Adult FriendFinder Hack Fugă Utilizatori îngrijorați Utilizatorii site-ului online dating Adult FriendFinder - și diferitele site-uri alternative din rețeaua sa - au rămas cu preocupări după a apărut că baza de date a aproape 4 milioane de înregistrări a fost ... Citește mai multe în mai. Chiar și eBay a fost compromis Încălcarea datelor eBay: Ce trebuie să știți Încălcarea datelor eBay: Ce trebuie să știți Citește mai mult anul trecut.
Păstrarea oricărui fel de scurgeri un secret suna nebun. Dar este?
Ar fi, desigur, în interesul companiilor implicate, dar ar putea exista, de asemenea, un efect pozitiv asupra clienților. Nu chiar. Nu sunt toate trandafiri, dar s-ar putea să nu fie chiar atât de groaznic ca sună.
Când companiile rămân tăcute
Legislația propusă ar putea permite companiilor să rămână, în anumite circumstanțe, stânjenite atunci când hackerii accesează sistemele lor - dar numai dacă cred că există “nici o șansă rezonabilă” o astfel de încălcare ar putea afecta serios clienții. În mod obișnuit, orice companie victimă a hackerilor ar trebui să trimită detalii la Comisia Federală pentru Comerț (FTC). Ar fi făcut legi actuale de divulgare a statului, majoritatea care impulsionează companiile să anunțe scurgeri.
Practic, dacă nu este furat nimic sensibil sau potențial dăunător, companiile nu trebuie să vă anunțe atunci când sunt hackeri.
Firmele hacked ar trebui să evalueze dacă datele extrase sunt orice lucru pe care clienții ar trebui să-l îngrijoreze, adică. ar putea duce la furtul de identitate sau la informațiile bancare. Procedurile normale ar trebui apoi să urmeze. Notificările ar trebui să fie trimise dacă:
“o încălcare a securității implică: (1) informația personală a mai mult de 10.000 de persoane, (2) o bază de date care conține informațiile personale ale mai mult de 1 milion de persoane, (3) bazele de date ale guvernului federal sau (4) sau antreprenorii cunoscuți ca fiind implicați în securitatea națională sau în aplicarea legii.”
Gerald Ferguson, avocat pentru protecția vieții private la Baker & Hostetler LLP, care sfătuiește companiile atunci când apar scurgeri, a declarat pentru Wall Street Journal:
“[Proiectul de lege] ar conduce la mai puține notificări ... Aceasta ar permite companiilor să facă oa doua analiză a existenței unui risc rezonabil de prejudicii financiare. Când începeți să faceți un risc de analiză a vătămării, există o mare discreție.”
Actul de notificare privind securitatea datelor și încălcarea prevederilor din 2015 a fost citit de două ori și trimis Comitetului pentru comerț, știință și transport în ianuarie.
De ce acest lucru este minunat pentru afaceri
Totul despre ce, ironic, Ashley Madison a oferit lui Ashley Madison Leak No Big Deal? Gândește-te din nou Ashley Madison nu scapă nici o mare afacere? Gândiți-vă din nou Discreet site-ul de dating site-ul Ashley Madison (vizat în primul rând la partenerii de înșelăciune) a fost hacked. Totuși, aceasta este o problemă mult mai serioasă decât cea prezentată în presă, cu implicații considerabile pentru siguranța utilizatorilor. Citește mai mult: discreție.
Reputația este esențială. De aceea, de exemplu, Carphone Warehouse a rămas conștient de încălcarea lor recentă, ceea ce ar fi putut afecta 2,4 milioane de persoane în Marea Britanie, pentru cât mai mult timp posibil. Nimeni nu vrea să folosească o companie pe care o consideră vulnerabilă la atac. Oracle s-a împușcat în picior cerând clienților să nu inverseze ingineria codului lor Oracle vrea să nu mai le trimiteți Bugs - Iată ce este nebun Oracle vrea să nu le trimiteți Bugs - Iată ce este nebun Oracle este în apă fierbinte pe un blog greșit postul de șef de securitate, Mary Davidson. Această demonstrație a modului în care filozofia de securitate a Oracle se îndepărtează de principalele nu a fost recepționată în comunitatea de securitate ... Citiți mai multe pentru a găsi probleme de securitate. Este la fel ca admiterea pe care o ai multe probleme legate de securitate, sau aruncarea unui semn uriaș de citire, “Nu puteți avea încredere în informațiile dvs. personale!”
Bun strigăt, Oracle.
Reputația înseamnă mult. Înseamnă bani. Un studiu realizat în 2014 a arătat că întreprinderile au cheltuit o medie de 145 de dolari pentru fiecare înregistrare scursă într-o încălcare a datelor, dar când vânzătorul popular, Target a anunțat că 40 de milioane de carduri de credit au fost compromise. Confirmă până la 40 de milioane de clienți americani cărți de credit potențial Hacked Target tocmai a confirmat că un hack ar fi putut compromite informațiile cardului de credit pentru până la 40 de milioane de clienți care au cumpărat în magazinele sale din SUA între 27 noiembrie și 15 decembrie 2013. 2013, victimele ar putea solicita despăgubiri de până la 10.000 de dolari (deși au fost considerabil mai puțin în ansamblu). Asta a fost de 10 milioane de dolari în total Target plătește pentru încălcarea datelor, PlayStation Vue Challenges Cable [Tech News Digest] Target plătește pentru încălcarea datelor, PlayStation Vue provoacă cablu [Tech News Digest] Obiectivul țintă de compensare, vizionarea PlayStation Vue, tăcerea Facebook, joc Chromecast tenis , folosind modul Netflix God, și zboară cu o viteză mai mică. Citeste mai mult .
Nu pare să aibă un stoc masiv deteriorat în corporația Target, deși prețurile au scăzut în urma încălcării. S-ar fi putut ajuta într-adevăr să dezvăluie informații înainte de a fi obligate din punct de vedere legal.
Cu toate acestea, a fost riscant. Douglas Meal, avocat la Comisia pentru valori mobiliare și burse din martie anul trecut, a declarat:
“[Nu] dezvăluiți deloc încălcarea, atunci nu aveți costumele de acțiune de clasă ... Este dezvăluirea încălcării care creează furtuna litigiilor ... Companiile cred că fac ceea ce trebuie să facă prin dezvăluirea, ci, în schimb, ajung să fie văzută ca fiind problema.”
De ce ar putea fi bun pentru clienți ...
Spinul? Prea multe notificări înseamnă panicarea clienților cu îngrijorări inutile. Aceasta este, fără îndoială, o mișcare bună pentru întreprinderile supuse hackerilor, dar ar putea fi o mișcare bună și pentru dvs..
O mare problemă acum, cu divulgarea în SUA, este legile de divizare a statului. Respectarea reglementărilor diferite din state încetinește procesul de a permite oamenilor să știe ce sa întâmplat. În loc să sară prin cercuri separate, companiile ar trebui să respecte hotărârea FTC.
Criteriile se referă adesea; cum ar putea un avocat să determine ce date ar putea afecta clienții? Din fericire, acestea sunt clar descrise în Legea privind securitatea datelor și încălcarea prevederilor din 2015. Desigur, ele subliniază importanța protejării datelor privind securitatea națională, dar prima și a doua clauză acoperă orice scurgere majoră.
De asemenea, notificările ar trebui să fie rapide: în cazul în care informațiile dvs. financiare personale au fost compromise, ar trebui (în teorie, cel puțin) să vi se spună cât mai curând posibil. Asta înseamnă mai mult timp pentru a face ceva despre asta! Cu cât acționați mai repede, cu atât mai puțin ar trebui să vă influențeze. Să folosim o afacere din Marea Britanie ca un exemplu de ce să nu facem: Carphone Warehouse a durat trei zile pentru a anunța că au fost victimele unei “sofisticat cibernetic.” Pot fi afectate până la 90.000 de carduri de credit, deși aceste date sunt criptate, astfel încât riscul este redus.
Pentru oricine a fost afectat de aceasta, Carphone Warehouse a informat clienții despre ce trebuie să facă, inclusiv pentru a vă asigura că activitatea băncii dvs. monitorizează activitatea și pentru a vă verifica ratingul de credit. În plus față de aceste măsuri, ar trebui să schimbați parolele pe acele conturi specifice, precum și pe cele pe care le folosiți aceeași parolă (și să învățați cum să creați una securizată) 7 moduri de a crea parole care sunt atât de securizate și memorabile 7 moduri de a Asigurați-vă parolele care sunt atât de sigură și memorabile Având o parolă diferită pentru fiecare serviciu este o necesitate în lumea online de astăzi, dar există o slăbiciune teribilă pentru parolele generate aleatoriu: este imposibil să le amintiți tuturor. ) și să fie atenți la apelurile telefonice care avertizează asupra activității frauduloase (mai ales că infractorii pot ține adesea linia deschisă, astfel încât să îi numiți înapoi în locul băncii dvs.).
Treceți printr-o listă de verificare a ceea ce trebuie să faceți dacă sunteți o victimă a fraudei cu cărți de credit Ce să faceți dacă sunteți o victimă a fraudei online privind cardurile de credit Ce să faceți dacă sunteți o victimă a fraudei de card de credit online Citiți mai multe și rețineți ce băncile nu vă vor întreba niciodată Online Băncile cu cinci lucruri nu vă vor întreba niciodată online Cinci lucruri Băncile nu vă vor întreba niciodată online Ați primit vreodată un e-mail de la banca dvs. privind activitatea suspectă a contului? Astfel de mesaje sunt aproape întotdeauna înșelătorii, așa că aici sunt câteva lucruri pe care banca dvs. nu le va solicita niciodată online - dar fraudeii vor. Citiți mai multe sau mai mult pe telefon.
Notificările pot costa și bani. Permițând fiecărui client să știe despre fiecare încălcare mănâncă resurse. Da, ocolind acest lucru ar fi mai bine pentru companii, dar înseamnă, de asemenea, că se pot concentra pe închiderea potențialelor găuri în securitatea lor și investigarea încălcărilor. Companiile trebuie să vadă că fac ceva despre vulnerabilitățile lor de securitate, încercând să reducă daunele reputației lor. Carphone Warehouse a cerut scuze și a blocat accesul la site-uri, dar până acum nu oferă bani victimelor activității frauduloase.
Pentru mai bine sau mai rău?
Nu este încă lege. Nu spun că este o situație ideală. În mod similar, nu trebuie să fie la fel de rău cum pare.
Clienții fac panică - și aceasta este o reacție ușor de înțeles. Poți să dai vina companiilor pentru că doresc să-ți reducă îngrijorarea ... și să dăuneze reputației și finanțării!
Pe de altă parte, dacă o afacere păstrează aceste lucruri în secret, cum puteți avea vreodată încredere în ele? Te simți în siguranță, oferindu-le informațiile tale personale? Și vă garantează încrederea dumneavoastră?
Credite de imagine: degetul peste buze de Dean Drobot prin Shutterstock, Security - Dicționar de American Advisors Group; Carphone Warehouse de mai mult decât atât; și țintă de către Mike Mozart.
Explorați mai multe despre: Hacking, confidențialitatea online.