Strona główna Bezpieczeństwo Dlaczego firmy trzymające tajemnicę w tajemnicy mogą być dobrą rzeczą

Dlaczego firmy trzymające tajemnicę w tajemnicy mogą być dobrą rzeczą

  • William Charles
  • 0
  • 4598
  • 1006
Reklama

Mając bogactwo informacji online, wszyscy martwimy się o potencjalne naruszenia bezpieczeństwa. Ale potencjalnie naruszenia te mogą być utrzymywane w tajemnicy w USA.

Rzadko mija miesiąc bez pomruków o naruszenie danych. Wystarczy spojrzeć na wyciek Ashleya Madisona Hakerzy poza użytkownikami Ashley Madison, mówią jak Stephen Hawking… [Przegląd wiadomości technicznych] Hakerzy poza użytkownicy Ashley Madison, mówią jak Stephen Hawking… [Przegląd wiadomości technicznych] Oszuści są wypuszczani na ciemną stronę internetową, jak rozmawiać jak Hawking, USA utrzymuje kontrolę nad ICANN, inwestuje w gry wideo za pośrednictwem Figa, ogląda Netflix z daleka i robi selfie z zombie. , które zawierały dane konta małżonków oszukujących porzuconych przez Internet. To wielka sprawa i ma poważne konsekwencje. Ashley Madison: Co się dzieje teraz wiemy, że jesteś oszustem Ashley Madison: Co się dzieje teraz wiemy, że jesteś oszustem Witryna randkowa Ashley Madison została niedawno zhakowana przez hakerów, którzy zagrozili, że wyciekną cała baza danych, chyba że witryna została zamknięta. W tym tygodniu baza danych została wyciekła. Czy Twoje niedyskrecje zostaną upublicznione? . Użytkownicy AdultFriend Finder odczuwali podobne bóle głowy Randkowy włamanie do witryny: dorosły hack FriendFinder opuszcza użytkowników martwiący się randkowy włamanie do witryny: dorosły hack FriendFinder opuszcza użytkowników martwiący się Użytkownicy internetowego serwisu randkowego dorosły FriendFinder - i różne alternatywne strony w jego sieci - zostali zaniepokojeni po okazało się, że baza danych prawie 4 milionów rekordów została… w maju. Nawet eBay został skompromitowany Naruszenie danych na eBayu: co trzeba wiedzieć Naruszenie danych na eBayu: co trzeba wiedzieć w zeszłym roku.

Utajnianie wszelkiego rodzaju wycieków wydaje się szalone. Ale czy to jest to?

Byłoby to oczywiście w interesie zaangażowanych firm, ale mogłoby to również mieć pozytywny efekt domina dla klientów. Nie naprawdę. To nie wszystkie róże, ale może nie być tak straszne, jak się wydaje.

Kiedy firmy milczą

Proponowane ustawodawstwo może pozwolić przedsiębiorstwom w niektórych okolicznościach zachować rozwagę, gdy hakerzy uzyskują dostęp do ich systemów - ale tylko wtedy, gdy uważają, że istnieje “bez rozsądnej szansy” takie naruszenie może poważnie wpłynąć na klientów. Zazwyczaj każda firma będąca ofiarą hakerów musiałaby przesłać dane do Federalnej Komisji Handlu (FTC). Ustanowiłoby to obowiązujące przepisy dotyczące ujawniania informacji przez stan, które w większości zmuszają firmy do ogłaszania wycieków.

Zasadniczo, jeśli nic kruchego lub potencjalnie szkodliwego nie zostanie skradzione, firmy nie muszą powiadamiać Cię o włamaniu.

Zaatakowane firmy będą musiały ocenić, czy wydobyte dane są czymś, o co klienci powinni się martwić, tj. może prowadzić do kradzieży tożsamości lub informacji bankowych. Trzeba będzie wtedy przestrzegać normalnych procedur. Powiadomienia będą musiały zostać wysłane, jeśli:

“naruszenie bezpieczeństwa dotyczy: (1) danych osobowych ponad 10 000 osób, (2) bazy danych zawierającej dane osobowe ponad 1 miliona osób, (3) baz danych rządu federalnego lub (4) danych osobowych pracowników federalnych lub kontrahenci, o których wiadomo, że są zaangażowani w bezpieczeństwo narodowe lub egzekwowanie prawa.”

Gerald Ferguson, prawnik ds. Prywatności w Baker & Hostetler LLP, który doradza firmom w przypadku wystąpienia wycieków, powiedział Wall Street Journal:

“[Ustawa] prowadziłaby do mniejszej liczby powiadomień… Pozwoliłaby firmom na dokonanie drugiej analizy, czy istnieje uzasadnione ryzyko szkody finansowej. Kiedy zaczynasz przeprowadzać analizę ryzyka szkód, masz dużo swobody.”

Ustawa o bezpieczeństwie danych i powiadomieniach o naruszeniach z 2015 r. Została przeczytana dwukrotnie i przekazana w styczniu do Komisji Handlu, Nauki i Transportu.

Dlaczego jest to świetne dla firm

Chodzi o to, co, jak na ironię, Ashley Madison zaoferowała Ashley Madison Leak No Big Deal? Pomyśl jeszcze raz Ashley Madison Leak Nic wielkiego? Think Again Dyskretny serwis randkowy Ashley Madison (skierowany głównie do oszustów) został zhakowany. Jest to jednak o wiele poważniejszy problem, niż przedstawiono w prasie, co ma znaczące konsekwencje dla bezpieczeństwa użytkowników. : dyskrecja.

Reputacja jest kluczem. Dlatego, na przykład, Carphone Warehouse pozostało nieśmiałe po swoim ostatnim naruszeniu, które mogło dotknąć 2,4 miliona osób w Wielkiej Brytanii, tak długo, jak to możliwe. Nikt nie chce korzystać z firmy, która ich zdaniem jest podatna na ataki. Oracle zastrzelił się, błagając klientów, aby nie kodowali kodu źródłowego Oracle chce, abyś przestał wysyłać im błędy - oto dlaczego to szalony Oracle chce, abyś przestał wysyłać im błędy - oto dlaczego to jest szalony Oracle jest w gorącej wodzie nad zepsutym blogiem stanowisko szefa bezpieczeństwa Mary Davidson. Ta demonstracja, w jaki sposób filozofia bezpieczeństwa Oracle odchodzi od głównego nurtu, nie została dobrze przyjęta w społeczności zajmującej się bezpieczeństwem… w celu znalezienia problemów z bezpieczeństwem. To tak samo, jak przyznać, że masz wiele problemów dotyczących bezpieczeństwa, lub rzucając ogromny odczyt znaków, “Nie możesz nam ufać swoimi danymi osobowymi!”

Dobry krzyk, Oracle.

Reputacja wiele znaczy. To znaczy pieniądze. Badanie z 2014 r. Ujawniło, że firmy wydały średnio 145 USD za każdy wyciek danych w wyniku naruszenia danych, ale gdy popularny detalista, Target ogłosił, że karta kredytowa 40 milionów klientów została naruszona, Target potwierdza do 40 milionów klientów w USA Karty kredytowe Potencjalnie zhakowany cel Potwierdza, że ​​do 40 milionów klientów w USA Karty kredytowe Potencjalnie zhakowany cel właśnie potwierdził, że włamanie mogło naruszyć informacje o karcie kredytowej dla nawet 40 milionów klientów, którzy dokonali zakupów w swoich sklepach w Stanach Zjednoczonych w dniach 27 listopada - 15 grudnia 2013 r. W 2013 r. ofiary mogły dochodzić odszkodowania w wysokości do 10 000 USD (choć ogólnie było to znacznie mniej). Łącznie było to 10 milionów USD Cel płaci za naruszenie danych, PlayStation Vue Challenges Cable [przegląd nowości technicznych] Cel docelowy płaci za naruszenie danych, PlayStation Vue Challenges Cable [podsumowanie nowości technicznych] Rekompensata za docelowe cele, oglądanie PlayStation Vue, wyciszanie Facebooka, granie w Chromecast tenis , używając trybu boga Netflix i latając szybszym dronem rowerowym. .

Wydaje się, że nie ma poważnie uszkodzonych akcji w Target Corporation, chociaż ceny spadły w wyniku naruszenia. Może rzeczywiście pomogło ujawnić informacje, zanim były do ​​tego prawnie wymagane.

Niemniej jednak było to ryzykowne. Douglas Meal, pełnomocnik Komisji Papierów Wartościowych i Giełd w marcu ubiegłego roku, powiedział:

“[I] jeśli nigdy nie ujawnisz naruszenia, wtedy nie masz pozwów grupowych… To ujawnienie naruszenia powoduje burzę ogniową sporów… Firmy uważają, że postępują właściwie, ujawniając, ale zamiast tego są postrzegane jako problem.”

Dlaczego może być dobry dla klientów…

Wirowanie? Zbyt wiele powiadomień oznacza spanikowanie klientów bez niepotrzebnego niepokoju. Jest to niewątpliwie dobry ruch dla firm narażonych na ataki hakerów, ale może być również dobry ruch dla Ciebie.

Obecnie dużym problemem związanym z ujawnieniem informacji w USA są przepisy dotyczące podziału państwa. Przestrzeganie różnych przepisów w poszczególnych stanach spowalnia proces faktycznego informowania ludzi o tym, co się stało. Zamiast skakać przez osobne obręcze, firmy musiałyby jedynie zastosować się do orzeczenia FTC.

Kryteria są często niepokojące; w jaki sposób adwokat określa, jakie dane mogą wpłynąć na klientów? Na szczęście są one wyraźnie określone w projekcie ustawy o bezpieczeństwie danych i powiadamianiu o naruszeniu z 2015 r. Wprawdzie podkreślają one znaczenie ochrony danych dotyczących bezpieczeństwa narodowego, ale pierwsza i druga klauzula dotyczą wszelkich poważniejszych wycieków.

Powiadomienia powinny być również szybkie: jeśli Twoje osobiste dane finansowe zostały naruszone, powinieneś (przynajmniej teoretycznie) zostać o tym poinformowany jak najszybciej. To oznacza więcej czasu, aby coś z tym zrobić! Im szybciej działasz, tym mniej powinno to na ciebie wpływać. Użyjmy brytyjskiego biznesu jako przykładu tego, czego nie należy robić: Carphone Warehouse zajęło trzy dni, aby ogłosić, że padło ofiarą “wyrafinowany cyberatak.” Może to mieć wpływ na 90 000 kart kredytowych, chociaż dane te są szyfrowane, więc ryzyko jest zmniejszone.

Dla wszystkich, których to dotyczy, Carphone Warehouse doradził klientom, co robić, w tym upewnić się, że bank monitoruje aktywność i sprawdzić swoją zdolność kredytową. Oprócz tych środków należy również zmienić hasła do tych konkretnych kont, a także dowolne, na których używasz tego samego hasła (i nauczyć się, jak utworzyć bezpieczne 7 sposobów, aby utworzyć hasła, które są jednocześnie bezpieczne i niezapomniane 7 sposobów na Twórz hasła, które są zarówno bezpieczne, jak i niezapomniane Posiadanie innego hasła do każdej usługi jest koniecznością w dzisiejszym świecie online, ale istnieje straszna słabość losowo generowanych haseł: nie można zapamiętać ich wszystkich. Ale jak to możliwe, aby pamiętać ...), i uważaj na rozmowy telefoniczne ostrzegające przed nieuczciwymi działaniami (zwłaszcza, że ​​przestępcy często utrzymują otwartą linię, więc oddzwoń do nich zamiast z banku).

Przejrzyj listę kontrolną tego, co zrobić, jeśli jesteś ofiarą oszustwa związanego z kartą kredytową Co zrobić, jeśli jesteś ofiarą oszustwa z wykorzystaniem karty kredytowej w Internecie Co zrobić, jeśli jesteś ofiarą oszustwa z karty kredytowej w Internecie, i bądź na bieżąco pamiętaj, które banki nigdy nie będą Cię pytać online. Pięć rzeczy, których banki nigdy nie będą pytać online. Pięć rzeczy, których banki nigdy nie będą pytać online. Takie wiadomości są prawie zawsze oszustwami, więc oto kilka rzeczy, których bank nigdy nie zażąda online - ale oszuści. lub przez telefon.

Powiadomienia mogą również kosztować pieniądze. Poinformowanie każdego klienta o każdym naruszeniu zużywa zasoby. Tak, ominięcie tego byłoby lepsze dla firm, ale oznacza to również, że mogą skupić się na zamykaniu potencjalnych dziur w zabezpieczeniach i badaniu naruszeń. Należy postrzegać firmy, które robią coś ze swoimi lukami w zabezpieczeniach, starając się zmniejszyć szkody dla ich reputacji. Carphone Warehouse przeprosił i zablokował dostęp do stron, ale jak dotąd nie oferuje pieniędzy ofiarom oszukańczych działań.

Na lepsze lub gorsze?

To jeszcze nie prawo. Nie twierdzę, że to idealna sytuacja. Podobnie nie musi być tak źle, jak się wydaje.

Klienci wpadają w panikę - i to zrozumiała reakcja. Czy możesz winić firmy za to, że chcą zmniejszyć to zmartwienie… i zaszkodzić jego reputacji i finansom!

Z drugiej strony, jeśli firma utrzymuje te rzeczy w tajemnicy, jak możesz im kiedykolwiek zaufać? Czy czujesz się bezpiecznie, przekazując im swoje dane osobowe? I czy gwarantują twoją pewność siebie?

Kredyty graficzne: palec nad ustami Dean Drobot za pośrednictwem Shutterstock, Security - Dictionary by American Advisors Group; Magazyn Carphone przez morebyless; oraz Target Mike'a Mozarta.




Jeszcze bez komentarzy

Przeczytaj recenzje Samsung Galaxy S7, Google Preview Android N… [Tech News Digest]
Nowości techniczne
Biedni Amerykanie, którzy otrzymali bezpłatny dostęp szerokopasmowy, Google AI bije ludzi w Go… [Przegląd wiadomości technicznych]
Nowości techniczne
Aktualizacja systemu Windows 10 opóźniona do 2017 r. Skype tłumaczy arabski… [Przegląd wiadomości technicznych]
Nowości techniczne
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.