Por que as empresas que mantêm violações um segredo poderia ser uma coisa boa

Com a riqueza de informações on-line, todos nós se preocupar com possíveis violações de segurança. Mas potencialmente, estas violações poderia ser mantido em segredo nos EUA.

É raro passa um mês sem rumores de violações de dados. Somente olhe para o vazamento Ashley Madison, que viu os detalhes da conta de batota cônjuges dumping online. É um grande negócio, e tem consequências graves. usuários de AdultFriend Localizador tinha dores de cabeça semelhantes em maio. Até eBay foi comprometida ano passado.Hackers afastados Usuários Ashley Madison, Speak Like Stephen Hawking ... [Tech News Digest]Hackers afastados Usuários Ashley Madison, Speak Like Stephen Hawking ... [Tech News Digest]Cheaters são outed na web escuro, como falar como Hawking, os EUA mantém o controle do ICANN, investir em jogos de vídeo através Fig, assistir a Netflix de longe, e tirar autorretratos com zumbis.consulte Mais informação

Manter qualquer tipo de vazamento de um segredo parece loucura. Mas é ele?

Seria no interesse das empresas envolvidas, é claro, mas também pode haver um efeito de arrastamento positivo para os clientes também. Não mesmo. Não é todas as rosas, mas pode não ser tão terrível quanto parece tanto.

Quando as empresas permanecer em silêncio

13856199984_4667251db8_z

legislação proposta poderia permitir que as empresas para, em algumas circunstâncias, permanecem de boca fechada quando hackers acessem seus sistemas - mas apenas se eles acreditam que não há “nenhuma chance razoável” como uma violação poderia afetar seriamente clientes. Normalmente, qualquer empresa vítima de hackers precisariam enviar os detalhes para a Federal Trade Commission (FTC). Não faria leis de divulgação do estado atual, a maioria dos que empurram as empresas para anunciar vazamentos, discutível.

Basicamente, se nada sensíveis ou potencialmente prejudicial for roubado, as empresas não precisam para notificá-lo quando eles estão hackeado.

empresas Hacked seria necessário avaliar se os dados extraídos é clientes alguma coisa deve se preocupar, ie. poderia levar ao roubo de identidade ou informações bancárias. procedimentos normais, então, tem que seguir. Notificações teria que ser enviada se:

“Um securitybreachinvolves: (1) as informações pessoais de mais de 10.000 indivíduos, (2) um banco de dados contendo as informações pessoais de mais de 1 milhão de pessoas, (3) bases de dados do governo federal, ou (4) as informações pessoais dos funcionários federais ou empreiteiros conhecidos por serem envolvidos na segurança nacional ou a aplicação da lei “.

Gerald Ferguson, um advogado de privacidade em Baker & Hostetler LLP que aconselha empresas quando ocorrem vazamentos, disse ao Wall Street Journal:

“[A lei] levaria a menos notificações ... Seria permitir que as empresas façam uma segunda análise da existência de um risco razoável de prejuízos financeiros. Quando você está começando a fazer um risco de análise dos danos há muita discrição.”

A Lei de Segurança de Dados e notificação de violação de 2015 foi lido duas vezes e referiu-se ao Comitê de Comércio, Ciência e Transporte em janeiro.

Por que isso é ótimo para empresas

Isto é tudo sobre o que, ironicamente, Ashley Madison oferecido: Discrição.Ashley Madison Leak No Big Deal? Pense de novoAshley Madison Leak No Big Deal? Pense de novoDiscreto site de namoro on-line Ashley Madison (destinados principalmente a batota cônjuges) foi hackeado. No entanto, esta é uma questão muito mais grave do que foi retratado na imprensa, com implicações consideráveis ​​para a segurança do usuário.consulte Mais informação

Reputação é fundamental. É por isso que, por exemplo, Carphone Warehouse permaneceu tímido em sua violação recente, que pode ter afetado 2,4 milhões de pessoas no Reino Unido, por tanto tempo quanto possível. Ninguém quer usar uma empresa de eles acham que é vulnerável a ataques. A Oracle tiro no próprio pé implorando clientes não fazer engenharia reversa de seu código para encontrar problemas de segurança. É o mesmo que admitir que você tem muitas questões relativas à segurança, ou jogando-se um cartaz enorme, “Você não pode confiar em nós com sua informação pessoal!”

Boa grito, Oracle.

Reputação significa muito. Isso significa dinheiro. Um estudo 2014 revelou que as empresas gastaram uma média de US $ 145 para cada registro vazou em uma violação de dados, mas quando varejista popular, alvo anunciou que cartões de crédito de 40 milhões de clientes tinha sido comprometida em 2013, as vítimas poderiam reivindicar até US $ 10.000 em danos (embora fosse consideravelmente menos no geral). Aquilo foi $ 10 milhões no total.Alvo Confirma até 40 milhões de clientes dos EU cartões de crédito potencialmente HackedAlvo Confirma até 40 milhões de clientes dos EU cartões de crédito potencialmente HackedAlvo acaba de confirmar que um hack pode ter comprometido as informações de cartão de crédito para até 40 milhões de clientes que fizeram compras em suas lojas nos Estados Unidos entre 27 de novembro e 15 de dezembro de 2013.consulte Mais informação



alvo Stock

Não parece ter estoque massivamente danificado na Corporação Target, embora os preços fez mergulho na sequência da violação. Poderia ter realmente ajudou que divulgou informações antes de serem legalmente obrigados a.

No entanto, era arriscado. Douglas refeição, advogado na Securities and Exchange Commission em março passado, disse:

“[I] f você nunca revelar a violação em tudo, então você não tem as ações coletivas ... É a revelação da violação que cria a tempestade de litígios ... As empresas pensam que estão fazendo a coisa certa ao revelar, mas sim acabar sendo visto como o problema “.

Por que pode ser bom para os clientes ..

O spin? Muitas notificações dizer em pânico clientes com preocupação desnecessária. Este é sem dúvida uma boa jogada para as empresas sujeitas a hackers, mas pode ser uma boa jogada para você também.

Um grande problema agora com a divulgação nos EUA é leis divisão estatal. Cumprimento dos regulamentos diferentes entre os estados retarda o processo de realmente deixar as pessoas sabem o que aconteceu. Em vez de saltar através de aros separados, as empresas só teriam de cumprir a decisão do FTC.

Critérios são muitas vezes concerning- como é que um advogado determinar quais dados poderiam afetar os clientes? Felizmente, estes são claramente definidos na Lei de Segurança de Dados e notificação de violação de 2015 projecto. Na verdade, eles sublinham a importância de proteger os dados referentes à segurança nacional, mas o primeiro e segundo cláusulas cobrir eventuais vazamentos grandes.

15170656644_9668263db7_z

As notificações devem ser rápido assim: se a sua informação financeira pessoal foi comprometido, você deve (em teoria, pelo menos) ser dito mais cedo possível. Isso vai significar mais tempo para fazer algo sobre isso! Quanto mais rápido você agir, a menos que deve afetar você. Vamos usar um negócio no Reino Unido como um exemplo do que não fazer: Carphone Warehouse levou três dias para anunciar que tinha sido vítima de um até 90.000 cartões de crédito poderiam ser afetados, embora esses dados são criptografados, “sofisticado ataque cibernético”. de modo que o risco é reduzido.

Para qualquer pessoa afectada por esta, Carphone Warehouse aconselhou clientes o que fazer, inclusive certificando-se de atividade os monitores do banco e verificar a sua notação de crédito. Além dessas medidas, você também deve alterar as senhas dessas contas específicas, bem como qualquer outro que você use a mesma senha em (e aprender a criar um seguro), E desconfie de telefonemas de advertência de atividade fraudulenta (especialmente como criminosos muitas vezes pode manter a linha aberta, assim você chamá-los de volta em vez de seu banco).7 maneiras de compensar as senhas que são Ambos seguro & Memorável7 maneiras de compensar as senhas que são Ambos seguro & MemorávelTer uma senha diferente para cada serviço é uma necessidade no mundo on-line de hoje, mas há uma terrível fraqueza para senhas geradas aleatoriamente: é impossível lembrar de todos eles. Mas como você pode, possivelmente, lembre-se ...consulte Mais informação

Vá até uma lista de o que fazer se você é uma vítima de fraude de cartão de crédito, e ter em mente O que os bancos nunca pedirá que você on-line ou por telefone.

As notificações podem custar dinheiro, também. Deixando cada cliente sabe sobre cada violação consome recursos. Sim, ignorando isso seria melhor para as empresas, mas também significa que eles podem se concentrar em fechar buracos potenciais em sua segurança e investigar violações. As empresas têm que ser visto para estar fazendo algo sobre suas vulnerabilidades de segurança, tentando reduzir os danos à sua reputação. Carphone Warehouse pediu desculpas e bloqueou o acesso aos locais, mas até agora eles não estão oferecendo dinheiro para quaisquer vítimas de atividade fraudulenta.

Para melhor ou pior?

14363002257_926639362c_z

Não é lei ainda. Eu não estou dizendo que é uma situação ideal. Igualmente, ele não tem de ser tão ruim quanto parece.

Os clientes não entre em pânico - e isso é uma reação compreensível. você pode culpar as empresas para querer reduzir essa preocupação ... e danos à sua reputação e finanças!

Por outro lado, se uma empresa mantém essas coisas em segredo, como você pode sempre confiar neles? Sente-se seguro dando-lhes a sua informação pessoal? E eles justificar a sua confiança?


Artigos relacionados