Почему компании, хранящие нарушения в секрете, могут быть хорошими вещами

Обладая огромным объемом информации в Интернете, мы все беспокоимся о возможных нарушениях безопасности. Но потенциально эти нарушения могут быть сохранены в секрете в США.

Редкий месяц проходит без уроков утечки данных. Просто посмотрите на утечку Эшли Мэдисон

, который видел данные аккаунта об измене супругов, сброшенных онлайн. Это большое дело и имеет серьезные последствия

, У пользователей AdultFriend Finder были похожие головные боли

в мае. Даже eBay был скомпрометирован

прошлый год.

Хранение любой утечки в секрете звучит безумно. Но так ли это?

Разумеется, это отвечало бы интересам участвующих компаний, но это также могло бы оказать положительное влияние на клиентов. Нет, правда. Это не все розы, но это может быть не так ужасно, как кажется.

Когда компании молчат

13856199984_4667251db8_z

Предлагаемое законодательство может позволить компаниям при некоторых обстоятельствах оставаться в тупике, когда хакеры получают доступ к своим системам, но только в том случае, если они считают, что «нет разумных шансов», что такое нарушение может серьезно повлиять на клиентов. Как правило, любая компания, ставшая жертвой хакеров, должна будет отправить данные в Федеральную торговую комиссию (FTC). Это сделало бы текущие государственные законы о раскрытии информации, большинство из которых подталкивают компании к объявлению утечек, спорными.

По сути, если не украдено ничего чувствительного или потенциально вредного, предприятиям не нужно уведомлять вас, когда они взломаны.

Взломанные компании должны будут оценить, что извлеченные данные должны беспокоить клиентов, т.е. может привести к краже личных данных или банковской информации. Нормальные процедуры должны будут следовать. Уведомления должны быть отправлены, если:

«Безопасность

: усмотрение

Репутация является ключевым. Вот почему, например, Carphone Warehouse оставался застенчивым после недавнего нарушения, которое, возможно, затронуло 2,4 миллиона человек в Великобритании как можно дольше. Никто не хочет использовать компанию, которую они считают уязвимой для атак. Oracle выстрелил себе в ногу, попросив клиентов не перепроектировать их код

чтобы найти проблемы с безопасностью. Это то же самое, что признать, что у вас много проблем с безопасностью, или вывесить огромную табличку с надписью: «Вы не можете доверять нам свою личную информацию!»

Хороший крик, Oracle.

Репутация очень много значит. Это значит деньги. Исследование, проведенное в 2014 году, показало, что предприятия тратили в среднем 145 долларов США на каждую утечку данных в результате взлома данных, но, когда популярный розничный торговец объявил, что 40 миллионов кредитных карт клиентов были взломаны

в 2013 году жертвы могли требовать до 10 000 долларов в качестве компенсации (хотя в целом это было значительно меньше). Всего было 10 миллионов долларов

,

Целевой запас

Похоже, что в Target Corporation акции компании серьезно повреждены, хотя после прорыва цены упали. На самом деле, возможно, помогло то, что они раскрыли информацию, прежде чем они были обязаны по закону

Тем не менее, это было рискованно. Дуглас Мил, адвокат Комиссии по ценным бумагам и биржам в марте прошлого года, сказал:

«[I] Если вы никогда не раскрываете нарушение, тогда у вас нет коллективных исков… Именно раскрытие нарушения создает огненную бурю судебных разбирательств… Компании думают, что делают правильные вещи, раскрывая, но вместо этого заканчивают рассматривается как проблема ».

Почему это может быть полезно для клиентов …

Вращение? Слишком много уведомлений означает панику клиентов ненужным беспокойством. Это, несомненно, хороший шаг для компаний, подверженных хакерам, но он может быть хорошим и для вас.

На данный момент большая проблема с раскрытием информации в США — законы о разделении штатов. Соблюдение различных правил в разных штатах замедляет процесс информирования людей о том, что произошло. Вместо того, чтобы прыгать через отдельные обручи, компаниям нужно будет только соблюдать решение FTC.

Критерии часто касаются; только как адвокат определяет, какие данные могут повлиять на клиентов? К счастью, они четко изложены в законопроекте о защите данных и нарушениях данных 2015 года. Следует признать, что они подчеркивают важность защиты данных, касающихся национальной безопасности, но первый и второй пункты охватывают любые существенные утечки.

15170656644_9668263db7_z

Уведомления также должны быть быстрыми: если ваша личная финансовая информация была скомпрометирована, вам следует (по крайней мере, теоретически) сообщить об этом как можно скорее. Это будет означать больше времени, чтобы что-то с этим сделать! Чем быстрее вы действуете, тем меньше это должно повлиять на вас. Давайте возьмем британский бизнес в качестве примера того, чего не следует делать: Carphone Warehouse потребовалось три дня, чтобы объявить, что они стали жертвами «изощренной кибератаки». Может быть затронуто до 90 000 кредитных карт, хотя эти данные зашифрованы, поэтому риск снижается.

Для тех, кто пострадал от этого, Carphone Warehouse посоветовал клиентам, что делать, в том числе убедиться, что ваш банк контролирует активность, и проверить ваш кредитный рейтинг. В дополнение к этим мерам вы должны также изменить пароли для этих конкретных учетных записей, а также для тех, для которых вы используете один и тот же пароль (и узнать, как создать безопасный пароль).

) и будьте осторожны с телефонными звонками, предупреждающими о мошеннической деятельности (тем более, что преступники часто могут держать линию открытой, поэтому вы перезваниваете их вместо своего банка).

Просмотрите список действий, которые необходимо предпринять, если вы стали жертвой мошенничества с кредитными картами.

и имейте в виду, что банки никогда не будут спрашивать вас онлайн

или по телефону.

Уведомления тоже могут стоить денег. Уведомление каждого клиента о каждом нарушении израсходует ресурсы. Да, обходить это было бы лучше для компаний, но это также означает, что они могут сосредоточиться на устранении потенциальных пробелов в своей безопасности и расследовании нарушений. Нужно видеть, что компании что-то предпринимают в отношении своих уязвимостей безопасности, пытаясь уменьшить ущерб своей репутации. Carphone Warehouse извинился и заблокировал доступ к сайтам, но пока они не предлагают деньги жертвам мошеннической деятельности.

Для лучшего или худшего?

14363002257_926639362c_z

Это еще не закон. Я не говорю, что это идеальная ситуация. Точно так же, это не должно быть так плохо, как кажется.

Клиенты впадают в панику — и это понятная реакция. Можете ли вы обвинить компании в том, что они хотят уменьшить это беспокойство … и нанести ущерб его репутации и финансам!

С другой стороны, если бизнес держит эти вещи в секрете, как вы можете им доверять? Чувствуете ли вы себя в безопасности, передавая им свою личную информацию? И они гарантируют вашу уверенность?

Кредиты на изображение: палец над губами Дина Дробота через Shutterstock, Security — Dictionary от American Advisors Group; Carphone Warehouse bybyless; и цель Майк Моцарт.

Ссылка на основную публикацию
Adblock
detector