Med det væld af information online, bekymrer vi os alle for mulige sikkerhedsbrud. Men potentielt kan disse overtrædelser blive hemmeligholdt i USA.
Det er sjældent, at en måned går forbi uden rumblinger af data brud. Bare kig på Ashley Madison lek Hackers Out Ashley Madison brugere, Tale ligesom Stephen Hawking ... [Tech News Digest] Hackere ud Ashley Madison brugere, taler ligesom Stephen Hawking ... [Tech News Digest] Snydere er ude på mørkt web, hvordan man kan snakke som Hawking, USA holder styr på ICANN, investerer i videospil gennem Fig, ser Netflix langt væk, og tager selfies med zombier. Læs mere, som så kontooplysninger om snyd ægtefæller dumpet online. Det er en big deal, og har alvorlige konsekvenser Ashley Madison: Hvad sker nu, vi ved, at du er en snyder Ashley Madison: Hvad sker nu, vi ved, at du er en snyder. Ashley Madison dating site blev for nylig blevet hacket af hackere, der truede med at lække hele databasen, medmindre webstedet er lukket. Denne uge er databasen blevet lækket. Er dine indiscretions ved at blive offentlige? Læs mere . Brugere af AdultFriend Finder havde lignende hovedpine Dating Site Hack: Adult FriendFinder Hack Leaves Brugere Bekymret Dating Site Hack: Adult FriendFinder Hack Leaves Brugere Bekymrede brugere af online dating site Adult FriendFinder - og de forskellige alternative websteder i sit netværk - er blevet efterladt med bekymringer efter det viste sig, at databasen på næsten 4 millioner optegnelser har været ... Læs mere i maj. Selv eBay blev kompromitteret eBay eBay Breach: Hvad du behøver at vide eBay data brud: Hvad du behøver at vide Læs mere sidste år.
At holde nogen form for lækage, en hemmelighed lyder sur. Men er det?
Det ville naturligvis være i de involverede virksomheders interesse, men det kunne også have en positiv indvirkning på kunderne. Nej virkelig. Det er ikke alle roser, men det kan ikke være lige så forfærdeligt som det lyder heller.
Når virksomhederne bliver stille
Foreslået lovgivning kan give virksomhederne mulighed for under visse omstændigheder at forblive stramt, når hackere har adgang til deres systemer - men kun hvis de mener, at der ikke er nogen rimelig chance, kan et sådant brud alvorligt påvirke kunderne. Enhver virksomhed, der er offer for hackere, vil typisk sende oplysninger til Federal Trade Commission (FTC). Det ville gøre gældende lov om offentliggørelse af oplysninger, hvoraf de fleste presser selskaber til at annoncere lækager.
I grund og grund, hvis ikke noget følsomt eller potentielt skadeligt er stjålet, behøver virksomhederne ikke at underrette dig, når de er hacket.
Hackede virksomheder ville skulle vurdere, om de data, der blev udtaget, er noget, som kunderne skulle bekymre sig om, dvs. kan føre til identitetstyveri eller bankoplysninger. Normale procedurer skulle derefter følge. Meddelelser skal sendes, hvis:
"En sikkerhedsbrud indebærer: (1) de personlige oplysninger på mere end 10.000 individer, (2) en database, der indeholder personlige oplysninger på mere end 1 million individer, (3) føderale regeringsdatabaser eller (4) føderale personoplysninger medarbejdere eller entreprenører, der vides at være involveret i national sikkerhed eller retshåndhævelse. "
Gerald Ferguson, en privatperson advokat hos Baker & Hostetler LLP, der rådgiver virksomheder, når der opstår lækager, fortalte Wall Street Journal:
"[Regningen] ville føre til mindre anmeldelser ... Det ville give virksomhederne mulighed for at foretage en anden analyse af, om der er en rimelig risiko for økonomisk skade. Når du begynder at gøre en risiko for skadeanalyse, er der meget diskretion. "
Datasikkerheds- og overtrædelseslovgivningen fra 2015 blev læst to gange og henvist til Udvalget om Handel, Videnskab og Transport i januar.
Hvorfor dette er fantastisk til virksomheder
Det handler om hvad ironisk nok Ashley Madison tilbød Ashley Madison Leak No Big Deal? Tænk igen Ashley Madison Læk Ingen Big Deal? Tænk igen Diskret online dating site Ashley Madison (målrettet primært til snydende ægtefæller) er blevet hacket. Men dette er et langt mere seriøst problem end det, der er blevet portrætteret i pressen, med betydelige konsekvenser for brugersikkerheden. Læs mere: skøn.
Omdømme er nøglen. Derfor var Carphone Warehouse for eksempel forbløffet over deres nylige brud, som måske har påvirket 2, 4 millioner mennesker i Storbritannien så længe som muligt. Ingen ønsker at bruge et firma, som de mener er sårbart over for angreb. Oracle skød sig selv i foden ved at bede kunderne om ikke at omdanne deres kode Oracle vil du stoppe med at sende dem fejl - her er hvorfor det er skønt Oracle vil du stoppe med at sende dem bugs - her er hvorfor det er vanvittigt Oracle er i varmt vand over en misforstået blog Post af sikkerhedschef, Mary Davidson. Denne demonstration af, hvordan Oracle's sikkerhedsfilosofi afviger fra mainstream, blev ikke modtaget godt i sikkerhedssamfundet ... Læs mere for at finde sikkerhedsproblemer. Det er det samme som at indrømme, at du har mange spørgsmål vedrørende sikkerhed eller kaster op en kæmpe tegnlæsning, "Du kan ikke stole på os med dine personlige oplysninger!"
God rop, Oracle.
Omdømme betyder meget. Det betyder penge. En undersøgelse fra 2014 viste, at virksomheder brugte gennemsnitligt 145 dollars for hver rekord, der var lækket i et data brud, men når populær detailhandler meddelte Target, at 40 millioner kunders kreditkort var blevet kompromitteret. Mål bekræfter op til 40 millioner amerikanske kunder. Kreditkort potentielt hacket mål Bekræfter op til 40 millioner amerikanske kunder Kreditkort Potentially Hacked Target har netop bekræftet, at et hack kunne have kompromitteret kreditkortoplysningerne for op til 40 millioner kunder, der har handlet i sine amerikanske butikker mellem den 27. november og den 15. december 2013. Læs mere i 2013, kunne ofre hæve op til $ 10.000 i skader (selvom det var betydeligt mindre i det hele). Det var $ 10 millioner i alt Target betaler for databrud, PlayStation Vue Challenges Cable [Tech News Digest] Mål betaler for databrud, PlayStation Vue Challenges Cable [Tech News Digest] Målmål kompensation, visning PlayStation Vue, lydløsning Facebook, spiller Chromecast tennis, ved hjælp af Netflix God Mode, og flyver en speeder cykel drone. Læs mere .
Det ser ikke ud til at have massivt beskadiget lager i Target Corporation, selvom priserne dyppede efter overtrædelsen. Det kunne faktisk have hjulpet, at de offentliggjorde oplysninger, før de var lovligt forpligtet til.
Ikke desto mindre var det risikabelt. Douglas Meal, advokat hos Securities and Exchange Commission i marts sidste år, sagde:
"[I] f du aldrig afslører overtrædelsen overhovedet, så du ikke har klassen handling dragter ... Det er offentliggørelsen af overtrædelsen, der skaber firestorm af retssager ... Virksomheder tror, at de gør det rigtige ved at afsløre, men i stedet ende op betragtes som problemet. "
Hvorfor det kunne være godt for kunderne ...
Spinnen? For mange meddelelser betyder at panikere kunder med unødig bekymring. Dette er utvivlsomt et godt skridt for virksomheder, der er udsat for hackere, men det kan også være et godt træk for dig også.
Et stort problem lige nu med offentliggørelse i USA er statsafdelingslove. Overholdelse af forskellige regler på tværs af stater sænker processen for rent faktisk at lade folk vide, hvad der er sket. I stedet for at hoppe gennem adskilte hoops ville virksomheder kun skulle overholde FTC-afgørelsen.
Kriterier vedrører ofte; hvordan bestemmer en advokat hvilke data der kan påvirke kunderne? Heldigvis er disse tydeligt fremhævet i lov om datasikkerhed og overtrædelse af 2015-udkastet. Ganske vist understreger de betydningen af at beskytte data vedrørende national sikkerhed, men de første og andet klausuler dækker eventuelle større lækager.
Meddelelser bør også være hurtige: Hvis dine personlige økonomiske oplysninger er blevet kompromitteret, skal du (i teorien i det mindste) fortælle så hurtigt som muligt. Det vil betyde mere tid til at gøre noget ved det! Jo hurtigere du handler, desto mindre bør det påvirke dig. Lad os bruge en britisk virksomhed som et eksempel på, hvad der ikke skal gøres: Carphone Warehouse tog tre dage at meddele, at de havde været offer for et "sofistikeret cyberangreb." Op til 90.000 kreditkort kunne blive påvirket, selv om disse data er krypteret, så risikoen er reduceret.
For alle, der er berørt af dette, rådede Carphone Warehouse kunderne, hvad de skal gøre, herunder at sikre, at din bank overvåger aktivitet og kontrollerer din kreditvurdering. Ud over disse foranstaltninger skal du også ændre adgangskoder på de specifikke konti, samt alle du bruger samme adgangskode til (og lære at skabe en sikker en 7 måder at lave adgangskoder, der er både sikre og mindeværdige 7 måder at Gør op kodeord, der er både sikre og mindeværdige At have en anden adgangskode til hver tjeneste er et must i dagens onlineverden, men der er en forfærdelig svaghed til tilfældigt genererede adgangskoder: det er umuligt at huske dem alle. Men hvordan kan du muligvis huske ... Læs mere), og pas på telefonopkald, advarsel om svigagtig aktivitet (især da kriminelle ofte kan holde linjen åben, så du ringer dem tilbage i stedet for din bank).
Gå gennem en tjekliste over hvad du skal gøre, hvis du er offer for kreditkortsvindel Hvad skal du gøre, hvis du er et offer for online kreditkort svig Hvad skal du gøre, hvis du er et offer for online kreditkort bedrageri Læs mere, og Husk hvad banker aldrig vil spørge dig online Fem ting, banker vil aldrig spørge dig online Fem ting Banker vil aldrig spørge dig online Har du nogensinde modtaget en email fra din bank, der har mistænkelig kontoaktivitet? Sådanne meddelelser er næsten altid svindel, så her er et par ting, som din bank aldrig vil anmode om online - men svindlere vil. Læs mere eller over telefonen.
Meddelelser kan også koste penge. At lade hver kunde vide om ethvert brud spiser ressourcer. Ja, at omgå dette ville være bedre for virksomheder, men det betyder også, at de kan fokusere på at lukke potentielle huller i deres sikkerhed og undersøge brud. Virksomheder skal ses som at gøre noget ved deres sikkerhedsmæssige sårbarheder og forsøger at reducere skader på deres omdømme. Carphone Warehouse undskyldte og blokerede adgang til webstederne, men hidtil tilbyder de ikke penge til ofre for svigagtig aktivitet.
På godt og ondt?
Det er ikke lov endnu. Jeg siger ikke, det er en ideel situation. Ligeledes behøver det ikke være så slemt, som det lyder.
Kunderne panik - og det er en forståelig reaktion. Kan du bebrejde virksomheder, fordi de vil reducere den bekymring ... og skade på sit ry og finans!
På den anden side, hvis en virksomhed holder disse ting hemmelige, hvordan kan du nogensinde stole på dem? Er du sikker på at give dem dine personlige oplysninger? Og garanterer de din tillid?
Image Credits: finger over læber af Dean Drobot via Shutterstock, Security - Dictionary af American Advisors Group; Carphone Warehouse af morebyless; og mål af Mike Mozart.