Perché le aziende che custodiscono le violazioni di un segreto potrebbero essere una buona cosa
Con la ricchezza di informazioni online, siamo tutti preoccupati per potenziali violazioni della sicurezza. Ma potenzialmente, queste violazioni potrebbero rimanere segrete negli Stati Uniti.
È raro che passi un mese senza che si verifichino violazioni dei dati. Basta guardare la falla di Ashley Madison Hackers Out Ashley Madison Utenti, parlare come Stephen Hawking ... [Tech News Digest] Hackers Out Ashley Madison Utenti, parlare come Stephen Hawking ... [Tech News Digest] I cheater sono in giro sul dark web, come parlare come Hawking, gli Stati Uniti mantengono il controllo di ICANN, investono in videogiochi attraverso Fig, guardano Netflix da lontano e fanno selfie con gli zombi. Leggi altro, che ha visto i dettagli dell'account dei coniugi truffati scaricati online. È un grosso problema, e ha serie conseguenze Ashley Madison: Cosa succede ora sappiamo che sei un cheater Ashley Madison: cosa succede ora sappiamo che sei un imbroglione Il sito di incontri di Ashley Madison è stato recentemente violato dagli hacker che hanno minacciato di trapelare intero database a meno che il sito non sia chiuso. Questa settimana, il database è stato trapelato. Le tue indiscrezioni stanno diventando pubbliche? Leggi di più . Gli utenti di AdultFriend Finder hanno avuto mal di testa simili Dating Site Hack: Hack di Adult FriendFinder lascia gli utenti Wack sito di incontri preoccupati: Hack di Adult FriendFinder lascia utenti preoccupati Gli utenti di siti di incontri online Adult FriendFinder - e i vari siti alternativi nella sua rete - sono stati lasciati con preoccupazioni dopo è emerso che il database di quasi 4 milioni di dischi è stato ... Leggi di più a maggio. Anche eBay è stata compromessa La violazione dei dati su eBay: Cosa devi sapere La violazione dei dati su eBay: Cosa devi sapere Leggi di più l'anno scorso.
Mantenere qualsiasi tipo di fuga un segreto sembra pazzo. Ma è così?
Sarebbe nell'interesse delle aziende coinvolte, naturalmente, ma potrebbe anche esserci un effetto positivo anche per i clienti. No davvero. Non sono tutte rose, ma potrebbe non essere così terribile come sembra.
Quando le aziende restano silenziose
La legislazione proposta potrebbe consentire alle aziende, in alcune circostanze, di rimanere a denti stretti quando gli hacker accedono ai loro sistemi, ma solo se credono che ci sia “nessuna ragionevole possibilità” tale violazione potrebbe seriamente compromettere i clienti. In genere, qualsiasi azienda vittima di hacker avrebbe bisogno di inviare dettagli alla Federal Trade Commission (FTC). Renderebbe le attuali leggi sulla divulgazione dello stato, la maggior parte delle quali spingono le aziende ad annunciare fughe di notizie.
Fondamentalmente, se non viene rubato nulla di sensibile o potenzialmente dannoso, le aziende non hanno bisogno di avvisarti quando vengono violati.
Le aziende hacker dovrebbero valutare se i dati estratti sono qualcosa di cui i clienti dovrebbero preoccuparsi, ad es. potrebbe portare a furti di identità o informazioni bancarie. Dovrebbero quindi seguire le normali procedure. Le notifiche dovrebbero essere inviate se:
“una violazione della sicurezza comporta: (1) le informazioni personali di oltre 10.000 persone, (2) un database contenente le informazioni personali di oltre 1 milione di individui, (3) database federali o (4) le informazioni personali degli impiegati federali o appaltatori noti per essere coinvolti in sicurezza nazionale o forze dell'ordine.”
Gerald Ferguson, un avvocato per la privacy di Baker & Hostetler LLP che fornisce consulenza alle aziende quando si verificano perdite, ha dichiarato al Wall Street Journal:
“[Il disegno di legge] porterebbe a meno notifiche ... Permetterebbe alle aziende di fare una seconda analisi del rischio ragionevole di danni finanziari. Quando si inizia a correre il rischio di analisi del danno, c'è molta discrezione.”
La legge sulla sicurezza dei dati e sulla notifica delle violazioni del 2015 è stata letta due volte e riferita alla commissione per il commercio, la scienza e i trasporti a gennaio.
Perché questo è ottimo per le aziende
Questo è tutto su cosa, ironia della sorte, Ashley Madison ha offerto Ashley Madison Leak No Big Deal? Pensa ancora Ashley Madison Leak No Big Deal? Pensa di nuovo Discreet sito di appuntamenti online Ashley Madison (destinato principalmente ai coniugi truffatori) è stato violato. Tuttavia questo è un problema molto più serio di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza degli utenti. Per saperne di più: discrezione.
La reputazione è la chiave. Ecco perché, ad esempio, Carphone Warehouse è rimasto timido sulla loro recente violazione, che potrebbe aver colpito 2.4 milioni di persone nel Regno Unito, il più a lungo possibile. Nessuno vuole usare un'azienda che ritengono vulnerabile agli attacchi. Oracle si è sparato ai piedi chiedendo ai clienti di non decodificare il loro codice Oracle vuole smettere di inviarli bug - Ecco perché è pazzesco Oracle vuole smettere di inviarli bug - Ecco perché è pazzesco Oracle è in acqua calda su un blog fuorviato post dal capo della sicurezza, Mary Davidson. Questa dimostrazione di come la filosofia della sicurezza di Oracle si allontani dal mainstream non è stata accolta bene nella comunità della sicurezza ... Leggi di più per trovare problemi di sicurezza. È come ammettere di avere molte questioni riguardanti la sicurezza, o lanciando un'enorme lettura di segni, “Non puoi fidarti di noi con le tue informazioni personali!”
Buon urlo, Oracle.
La reputazione significa molto. Significa soldi. Uno studio del 2014 ha rivelato che le aziende hanno speso in media $ 145 per ogni record trapelato in una violazione dei dati, ma quando il rivenditore popolare Target ha annunciato che erano state compromesse 40 milioni di carte di credito dei clienti Target conferma fino a 40 milioni di clienti USA Carte di credito potenzialmente target compromesso Conferma fino a 40 milioni di clienti USA Carte di credito potenzialmente hackerate Obiettivo ha appena confermato che un trucco potrebbe aver compromesso le informazioni della carta di credito per un massimo di 40 milioni di clienti che hanno fatto acquisti nei suoi negozi negli Stati Uniti tra il 27 novembre e il 15 dicembre 2013. Ulteriori informazioni su Nel 2013, le vittime potevano richiedere fino a $ 10.000 di danni (anche se era considerevolmente meno nel complesso). Questo è stato $ 10 milioni in Target Target per violazione dei dati, cavo per PlayStation Vue Challenges [Tech News Digest] Target per violazione dei dati, cavo per PlayStation Vue [Tech News Digest] Obiettivo: compensazione, visualizzazione di PlayStation Vue, silenziamento di Facebook, riproduzione di Chromecast , usando la modalità Netflix God e facendo volare un drone speeder bike. Leggi di più .
Non sembra aver danneggiato in modo massiccio le scorte nella Target Corporation, sebbene i prezzi siano diminuiti dopo la violazione. Potrebbe aver effettivamente aiutato a divulgare le informazioni prima di essere obbligate per legge.
Tuttavia, era rischioso. Douglas Meal, avvocato della Securities and Exchange Commission lo scorso marzo, ha dichiarato:
“[I] Se non divulghi mai la violazione, allora non hai le tute class action ... È la divulgazione della violazione che crea la tempesta di contenzioso ... Le aziende pensano di fare la cosa giusta rivelando ma invece finiscono per essere visto come il problema.”
Perché potrebbe essere buono per i clienti ...
Lo spin? Troppe notifiche significano panico per i clienti con preoccupazioni inutili. Questa è indubbiamente una buona mossa per le aziende soggette agli hacker, ma potrebbe essere una buona mossa anche per te.
Un grosso problema in questo momento con la divulgazione negli Stati Uniti è leggi di divisione dello stato. Il rispetto di normative diverse tra gli stati rallenta il processo di far sapere alla gente cosa è successo. Invece di saltare attraverso cerchi separati, le aziende dovrebbero solo rispettare la sentenza FTC.
I criteri sono spesso preoccupanti; come fa un avvocato a determinare quali dati potrebbero influenzare i clienti? Fortunatamente, questi sono chiaramente illustrati nella bozza del Data Security e Breach Notification Act del 2015. Certo, sottolineano l'importanza di proteggere i dati relativi alla sicurezza nazionale, ma la prima e la seconda clausola coprono eventuali importanti fughe di notizie.
Anche le notifiche dovrebbero essere veloci: se le tue informazioni finanziarie personali sono state compromesse, dovresti (almeno in teoria) essere informato il prima possibile. Ciò significa più tempo per fare qualcosa al riguardo! Più velocemente agisci, meno dovrebbe influire su di te. Usiamo un'azienda del Regno Unito come esempio di cosa non fare: Carphone Warehouse ha impiegato tre giorni per annunciare di essere stati vittima di un “sofisticato attacco informatico.” Potrebbero essere interessate fino a 90.000 carte di credito, anche se questi dati sono crittografati, quindi il rischio è ridotto.
Per tutti coloro che ne sono affetti, Carphone Warehouse ha consigliato ai clienti cosa fare, tra cui assicurarsi che l'attività di monitoraggio della banca e verificare il rating del credito. Oltre a queste misure, dovresti anche cambiare le password su quegli account specifici, oltre a tutti quelli su cui usi la stessa password (e imparare a crearne uno sicuro 7 modi per creare password sicure e memorabili 7 modi per Componi password sicure e memorabili Avere una password diversa per ogni servizio è un must nel mondo online di oggi, ma c'è una terribile debolezza nelle password generate a caso: è impossibile ricordarle tutte, ma come si può ricordare ... Continua a leggere ), e diffidare delle telefonate che avvertono di attività fraudolente (specialmente perché i criminali possono spesso mantenere la linea aperta, così li richiamerai invece della tua banca).
Passare attraverso una lista di controllo su cosa fare se sei vittima di frodi con carta di credito Cosa fare se sei vittima di frodi online con carta di credito Cosa fare se sei vittima di frodi online con carta di credito Leggi di più, e Tieni a mente ciò che le banche non ti chiederanno mai online Cinque cose che le banche non ti chiederanno mai online Cinque cose che le banche non ti chiederanno mai online Hai mai ricevuto un'email dalla tua banca con l'attività di un conto sospetto? Tali messaggi sono quasi sempre truffe, quindi ecco alcune cose che la tua banca non richiederà mai online - ma i truffatori lo faranno. Leggi di più o per telefono.
Le notifiche possono anche costare denaro. Lasciare che ogni cliente sappia su ogni violazione mangia risorse. Sì, scavalcarlo sarebbe meglio per le aziende, ma significa anche che possono concentrarsi sulla chiusura di potenziali falle nella loro sicurezza e indagare sulle violazioni. Le aziende devono essere viste per fare qualcosa sulle loro vulnerabilità di sicurezza, cercando di ridurre i danni alla loro reputazione. Carphone Warehouse si è scusato e ha bloccato l'accesso ai siti, ma finora non stanno offrendo denaro a nessuna vittima di attività fraudolenta.
Per il meglio o il peggio?
Non è ancora la legge. Non sto dicendo che è una situazione ideale. Allo stesso modo, non deve essere così male come sembra.
I clienti fanno il panico - e questa è una reazione comprensibile. Puoi dare la colpa alle aziende per voler ridurre questa preoccupazione ... e danneggiare la sua reputazione e le sue finanze!
D'altra parte, se un'azienda mantiene segrete queste cose, come puoi fidarti di loro? Ti senti sicuro dando loro le tue informazioni personali? E garantiscono la tua fiducia?
Crediti immagine: finger over lips di Dean Drobot tramite Shutterstock, Security - Dizionario di American Advisors Group; The Carphone Warehouse by morebyless; e Target di Mike Mozart.
Scopri di più su: hacking, privacy online.