Varför företag som bryter mot en hemlighet kan vara en bra sak
Med den enorma informationen online, oroar vi oss alla om potentiella säkerhetsbrott. Men potentiellt kan dessa överträdelser hållas hemliga i USA.
Det är sällsynt att en månad går utan rubbningar av dataöverträdelser. Titta precis på Ashley Madison läckarna Hackers Out Ashley Madison-användare, talar som Stephen Hawking ... [Tech News Digest] Hackers Out Ashley Madison-användare, talar som Stephen Hawking ... [Tech News Digest] Skämtare är ute på mörk webb, hur man pratar som Hawking, USA håller kontroll över ICANN, investerar i videospel genom Fig, tittar Netflix långt borta och tar sig själv med zombies. Läs mer, som såg kontouppgifter om otrogen makar dumpade online. Det är en stor sak och har allvarliga konsekvenser Ashley Madison: Vad händer nu vet vi att du är en skämt Ashley Madison: Vad händer nu vet vi att du är en skatare Ashley Madison-datingsidan blev nyligen hackad av hackare som hotade att läcka ut hela databasen om webbplatsen inte är stängd. Den här veckan har databasen läckt ut. Kommer dina indiscretions att bli offentliga? Läs mer . Användare av AdultFriend Finder hade liknande huvudvärk Dating Site Hack: Adult FriendFinder Hack Leaves Användare Orolig Dating Site Hack: Adult FriendFinder Hack Leaves Användare Oroliga användare av online dating site Adult FriendFinder - och de olika alternativa platserna i sitt nätverk - har lämnats med bekymmer efter det framkom att databasen med nästan 4 miljoner poster har varit ... Läs mer i maj. Även eBay har äventyras eBay Data Breach: Vad du behöver veta eBay Data Breach: Vad du behöver veta Läs mer förra året.
Att hålla någon form av läcka en hemlighet låter arg. Men är det?
Det skulle naturligtvis vara i de berörda företagens intresse, men det kan också vara en positiv knock-on-effekt för kunderna. Nej verkligen. Det är inte alla rosor, men det kanske inte är så hemskt som det låter heller.
När företag blir tysta
Förslag till lagstiftning skulle kunna göra det möjligt för företagen att under vissa omständigheter förbli tippade när hackare får tillgång till sina system - men bara om de tror att det finns “ingen rimlig chans” Ett sådant brott kan allvarligt påverka kunderna. Typiskt skulle varje företags offer för hackare behöva skicka detaljer till Federal Trade Commission (FTC). Det skulle göra nuvarande lagar om offentliggörande, varav de flesta driver företag att meddela läckor, moot.
I grund och botten, om inget känsligt eller potentiellt skadligt stulits, behöver företagen inte meddela dig när de hackas.
Hackade företag skulle behöva utvärdera om de data som extraheras är något som kunderna borde oroa sig för, dvs. kan leda till identitetsstöld eller bankinformation. Normala procedurer skulle då behöva följas. Anmälningar skulle behöva skickas om:
“en säkerhetsbrott innefattar: (1) personuppgifter om mer än 10 000 personer, (2) en databas som innehåller personuppgifter om mer än 1 miljon individer, (3) federala regeringsdatabaser, eller (4) personuppgifter från federala medarbetare eller entreprenörer som är kända för att vara inblandade i nationell säkerhet eller brottsbekämpning.”
Gerald Ferguson, en integritetsadvokat hos Baker & Hostetler LLP, som rådgivar företag när läckage inträffar, berättade Wall Street Journal:
“[Räkningen] skulle leda till mindre anmälningar ... Det skulle göra det möjligt för företagen att göra en andra analys av huruvida det finns en rimlig risk för ekonomisk skada. När du börjar göra en risk för skadeanalys finns det mycket utrymme för skönsmässig bedömning.”
Lag om datasäkerhet och överträdelse av 2015 har lästs två gånger och hänvisats till utskottet för handel, vetenskap och transport i januari.
Varför det här är bra för företag
Det här handlar om vad ironiskt nog Ashley Madison erbjöd Ashley Madison Leak No Big Deal? Tänk igen Ashley Madison läcka ingen stor överenskommelse? Tänk igen Diskret online-datingsida Ashley Madison (riktade främst till otrogen makar) har hackats. Men det här är en mycket allvarligare fråga än vad som har skildrats i pressen, med betydande konsekvenser för användarsäkerheten. Läs mer: diskretion.
Anseende är nyckeln. Det är därför som Carphone Warehouse förblir häftigt över sin senaste överträdelse, vilket kan ha påverkat 2,4 miljoner människor i Storbritannien, så länge som möjligt. Ingen vill använda ett företag som de tycker är utsatta för attack. Oracle sköt sig i foten genom att ber kunderna att inte omvända sin kod Oracle vill du sluta skicka dem Bugs - Det här är varför det är galet Oracle vill du sluta skicka dem Bugs - Det är därför det är galet Oracle är i varmt vatten över en missvisad blogg inlägg av säkerhetschef, Mary Davidson. Denna demonstration av hur Oracles säkerhetsfilosofi avviker från det vanliga mottogs inte bra i säkerhetsgemenskapen ... Läs mer för att hitta säkerhetsproblem. Det är detsamma som att erkänna att du har många frågor om säkerhet, eller kasta upp en stor skyltavläsning, “Du kan inte lita på oss med din personliga information!”
Bra rop, Oracle.
Anseende betyder mycket. Det betyder pengar. En 2014-studie avslöjade att företag tillbringade i genomsnitt 145 dollar för varje rekord som läckte i en dataöverträdelse, men när populär återförsäljare meddelade Target att 40 miljoner kunders kreditkort hade äventyras Mål bekräftar upp till 40 miljoner amerikanska kunder Kreditkort potentiellt hackat mål Bekräftar upp till 40 miljoner amerikanska kunder Kreditkort Potentiellt Hacked Target har precis bekräftat att ett hack kunde ha äventyrat kreditkortsinformationen för upp till 40 miljoner kunder som har handlat i sina amerikanska butiker mellan 27 november och 15 december 2013. Läs mer i 2013 skulle offer kunna kräva upp till $ 10 000 i skador (även om det var betydligt mindre i stort sett). Det var totalt 10 miljoner dollar i mål Target Pays for Data Breach, PlayStation Vue Challenges Cable [Tech News Digest] Target betalar för dataövergrepp, PlayStation Vue Challenges Cable [Tech News Digest] Mål för kompensation, visning av PlayStation Vue, tystning Facebook, spelning av Chromecast tennis , med hjälp av Netflix God Mode, och flyger en speeder cykel drone. Läs mer .
Det verkar inte ha massivt skadat lager i Target Corporation, trots att priserna dyppade efter överträdelsen. Det kan faktiskt ha hjälpt till att de avslöjade information innan de var lagligen skyldiga att.
Det var emellertid riskabelt. Douglas Meal, advokat vid Securities and Exchange Commission i mars förra året sa:
“[I] f du aldrig avslöjar brottet alls då du inte har klasshandlingar passar ... Det är avslöjandet av brott som skapar firestorm av tvister ... Företag tror att de gör det rätta genom att avslöja, men i stället hamnar ses som problemet.”
Varför det kunde vara bra för kunderna ...
Spinnen? För många anmälningar innebär att kunderna panikerar onödigt oro. Detta är utan tvekan ett bra drag för företag som utsätts för hackare, men det kan också vara ett bra drag för dig också.
Ett stort problem just nu med upplysningar i USA är lagar om statlig uppdelning. Att följa olika regler över staterna saktar processen för att faktiskt låta folk veta vad som hände. Istället för att hoppa genom separata hoops skulle företagen bara behöva följa FTC-beslutet.
Kriterier gäller ofta; Hur bestämmer en advokat vilka uppgifter som kan påverka kunderna? Lyckligtvis anges dessa tydligt i lagen om datasäkerhet och överträdelse av 2015 års utkast. De understryker visserligen vikten av att skydda uppgifter om nationell säkerhet, men de första och andra klausulerna täcker allvarliga läckor.
Anmälningar ska också vara snabba: Om din personliga ekonomiska information har äventyras bör du (i teorin minst) få veta så snart som möjligt. Det betyder mer tid att göra något åt det! Ju snabbare du agerar desto mindre skulle det påverka dig. Låt oss använda en brittisk verksamhet som ett exempel på vad som inte ska göras: Carphone Warehouse tog tre dagar att meddela att de hade blivit offer för en “sofistikerad cyber-attack.” Upp till 90 000 kreditkort kan påverkas, även om dessa data är krypterade, så risken minskar.
För alla som drabbats av detta informerade Carphone Warehouse kunderna vad de ska göra, inklusive att se till att din bank övervakar aktiviteten och kontrollerar ditt kreditbetyg. Förutom dessa åtgärder bör du också ändra lösenord på de specifika kontona, liksom alla som använder samma lösenord på (och lära sig att skapa en säker en 7 sätt att göra upp lösenord som är både säkra och minnesvärda 7 sätt att Göra upp lösenord som är både säkra och minnesvärda Att ha ett annat lösenord för varje tjänst är ett måste i dagens onlinevärld, men det finns en fruktansvärd svaghet för slumpmässigt genererade lösenord: det är omöjligt att komma ihåg dem alla. Men hur kan du komma ihåg ... Läs mer ) och var försiktig med telefonsamtal varning om bedräglig verksamhet (särskilt eftersom brottslingar ofta kan hålla linjen öppen, så du ringer dem tillbaka istället för din bank).
Gå igenom en checklista över vad du ska göra om du är offer för kreditkortsbedrägerier Vad gör du om du är offer för online kreditkortbedrägerier Vad gör du om du är offer för online-kreditkortbedrägeri Läs mer, och Tänk på vad bankerna aldrig kommer att fråga dig online Fem saker Banker kommer aldrig att fråga dig online Fem saker Banker kommer aldrig att fråga dig online Har du någonsin fått ett mail från din bank som har misstänkt kontoaktivitet? Sådana meddelanden är nästan alltid bedrägerier, så här är några saker som din bank aldrig kommer att begära online - men bedrägerier kommer. Läs mer eller över telefonen.
Meddelanden kan kosta pengar också. Att låta varje kund veta om varje överträdelse äter upp resurser. Ja, kringgå detta skulle vara bättre för företagen, men det betyder också att de kan fokusera på att stänga potentiella hål i deras säkerhet och undersöka brott. Företagen måste ses som att göra något om sina säkerhetsproblem och försöker minska skador på deras rykte. Carphone Warehouse ursäktade och blockerade tillgången till platserna, men hittills erbjuder de inte pengar till offer för bedräglig verksamhet.
För bättre eller sämre?
Det är inte lag ännu. Jag säger inte att det är en idealisk situation. Likaså behöver det inte vara så illa som det låter.
Kunderna panikar - och det är en förståelig reaktion. Kan du skylla på företag för att vilja minska den oroa ... och skada sitt rykte och finans!
Å andra sidan, om ett företag håller dessa saker hemliga, hur kan du någonsin lita på dem? Känner du dig säker att ge dem din personliga information? Och de garanterar ditt självförtroende?
Bildkrediter: finger över läppar av Dean Drobot via Shutterstock, Security - Dictionary by American Advisors Group; Carphone Warehouse av morebyless; och mål av Mike Mozart.
Utforska mer om: Hacking, Online Privacy.