Sikkerhet

Hvorfor selskaper som holder seg i brudd på en hemmelighet kan være en god ting

Med den enorme mengden informasjon på Internett, er vi alle bekymret for mulige sikkerhetsbrudd. Men potensielt kan disse bruddene holdes hemmelig i USA.

Det er sjeldent en måned går forbi uten at det går ut av databrudd. Bare se på Ashley Madison lek Hackers Out Ashley Madison Brukere, snakk som Stephen Hawking ... [Tech News Digest] Hackers Out Ashley Madison Brukere, snakk som Stephen Hawking ... [Tech News Digest] Juksere er ute på mørk web, hvordan å snakke som Hawking, USA holder kontroll over ICANN, investerer i videospill gjennom Fig, ser Netflix langt unna, og tar selfies med zombier. Les mer, som så kontoplysninger om bedrager ektefeller dumpet online. Det er en stor avtale, og har alvorlige konsekvenser Ashley Madison: Hva skjer nå, vi vet at du er en jukser Ashley Madison: Hva skjer nå, vi vet at du er en jukser Ashley Madison datingside ble nylig hacket av hackere som truet med å lekke ut hele databasen med mindre nettstedet er stengt. Denne uken har databasen blitt lekket. Er dine indiscretions om å bli offentlig? Les mer . Brukere av AdultFriend Finder hadde lignende hodepine Dating Site Hack: Adult FriendFinder Hack Leaves Brukere Bekymret Dating Site Hack: Voksen FriendFinder Hack Leaves Brukere Bekymret Brukere av online datingside Adult FriendFinder - og de forskjellige alternative nettstedene i sitt nettverk - har blitt igjen med bekymringer etter det viste seg at databasen med nesten 4 millioner poster har vært ... Les mer i mai. Selv eBay ble ødelagt eBay-brudd: Det du trenger å vite eBay-databrudd: Det du trenger å vite Les mer i fjor.

Å holde noen form for lekkasje, hemmelighet, lyder sint. Men er det?

Det ville selvfølgelig være av interesse for de involverte selskapene, men det kan også være en positiv innflytelse for kundene også. Nei, egentlig. Det er ikke alle roser, men det kan ikke være ganske så forferdelig som det høres heller.

Når selskapene blir stille

Foreslått lovgivning kan tillate selskaper å under noen omstendigheter forbli stramt når hackere får tilgang til sine systemer - men bare hvis de tror det er “ingen rimelig sjanse” Et slikt brudd kan på alvor påvirke kundene. Vanligvis vil ethvert selskap offer for hackere måtte sende detaljer til Federal Trade Commission (FTC). Det ville gjøre gjeldende lov om offentliggjøring av offentliggjøring, hvorav de fleste presser selskaper til å kunngjøre lekkasjer, moot.

I utgangspunktet, hvis ikke noe følsomt eller potensielt skadelig er stjålet, trenger bedrifter ikke å varsle deg når de er hacket.

Hackede bedrifter ville trenge å vurdere om dataene hentet er noe kunder burde bekymre seg for, dvs. kan føre til identitetstyveri eller bankinformasjon. Normale prosedyrer må da følge. Varsler må sendes hvis:

“En sikkerhetsbrudd innebærer: (1) personopplysningene til mer enn 10 000 individer, (2) en database som inneholder personopplysninger på mer enn 1 million individer, (3) føderale regjeringsdatabaser, eller (4) personlige opplysninger fra føderale ansatte eller entreprenører kjent for å være involvert i nasjonal sikkerhet eller rettshåndhevelse.”

Gerald Ferguson, en personvernadvokat hos Baker & Hostetler LLP som rådgiver selskaper når lekkasjer oppstår, fortalte Wall Street Journal:

“[Regningen] ville føre til mindre varsler ... Det ville tillate bedrifter å gjøre en ny analyse av om det er en rimelig risiko for økonomisk skade. Når du begynner å gjøre en risiko for skadeanalyse, er det mye diskresjon.”

Datasikkerhets- og bruddvarseloven fra 2015 ble lest to ganger og henvist til komiteen for handel, vitenskap og transport i januar.

Hvorfor dette er bra for bedrifter

Dette handler om hva ironisk nok Ashley Madison tilbød Ashley Madison Leak No Big Deal? Tenk igjen Ashley Madison Lekkasje Ingen Big Deal? Tenk igjen Diskret online datingside Ashley Madison (målrettet primært på utro ektefeller) har blitt hacket. Men dette er et langt mer alvorlig problem enn det som har blitt portrettert i pressen, med betydelige implikasjoner for brukersikkerhet. Les mer: skjønn.

Omdømme er nøkkelen. Det var derfor Carphone Warehouse forble seg med deres siste brudd, noe som kan ha påvirket 2,4 millioner mennesker i Storbritannia, så lenge som mulig. Ingen ønsker å bruke et selskap de tror er sårbart for angrep. Oracle skutt seg i foten ved å be kunder om ikke å omdanne sin kode Oracle vil stoppe å sende dem feil - Her er hvorfor det er gal Oracle vil stoppe å sende dem feil - Her er hvorfor det er gal Oracle er i varmt vann over en misforstått blogg post av sikkerhet sjef, mary Davidson. Denne demonstrasjonen av hvordan Oracles sikkerhetsfilosofi avviker fra det vanlige, ble ikke godt mottatt i sikkerhetssamfunnet ... Les mer for å finne sikkerhetsproblemer. Det er det samme som å innrømme at du har det mange problemer knyttet til sikkerhet, eller kaster opp en stor skiltlesing, “Du kan ikke stole på oss med dine personlige opplysninger!”

God rop, Oracle.

Omdømme betyr mye. Det betyr penger. En 2014-studie viste at bedrifter brukte et gjennomsnitt på $ 145 for hver rekord som var lekket i et data brudd, men da populær forhandler annonserte Target at 40 millioner kunders kredittkort var blitt kompromittert. Target bekrefter opptil 40 millioner amerikanske kunder. Kredittkort potensielt hacket mål Bekrefter opptil 40 millioner amerikanske kunder Kredittkort Potensielt Hacked Target har nettopp bekreftet at en hack kunne ha kompromittert kredittkortinformasjonen for opptil 40 millioner kunder som har handlet i sine amerikanske butikker mellom 27. november og 15. desember 2013. Les mer i 2013, kan ofre kreve opptil $ 10 000 i skader (selv om det var betydelig mindre i det hele tatt). Det var $ 10 millioner i alt Target Pays for Data Breach, PlayStation Vue Utfordringer Cable [Tech News Digest] Target betaler for datautbrudd, PlayStation Vue Utfordringer Cable [Tech News Digest] Målmål kompensasjon, visning PlayStation Vue, lyding Facebook, spiller Chromecast tennis , ved hjelp av Netflix God Mode, og flyr en speeder sykkel drone. Les mer .

Det ser ikke ut til å ha massivt skadet lager i Target Corporation, selv om prisene dyppet etter bruddet. Det kan faktisk ha hjulpet at de avslørte informasjon før de var lovlig pålagt.

Det var likevel risikabelt. Douglas Meal, advokat ved Securities and Exchange Commission i mars i fjor, sa:

“[I] f du aldri avsløre bruddet i det hele tatt, da du ikke har klærne til klubbens handlinger ... Det er avsløringen av bruddet som skaper firestorm av rettssaker ... Bedrifter tror de gjør det rette ved å avsløre, men i stedet ende opp med å bli sett på som problemet.”

Hvorfor det kan være bra for kunder ...

Spinnen? For mange varslinger betyr at kundene blir unnviket med unødvendig bekymring. Dette er utvilsomt et godt trekk for bedrifter som er utsatt for hackere, men det kan også være et godt trekk for deg også.

Et stort problem akkurat nå med avsløring i USA er statsavdelingslover. Å overholde ulike forskrifter på tvers av stater, reduserer prosessen med å faktisk la folk få vite hva som skjedde. I stedet for å hoppe gjennom separate hoops, ville selskapene bare måtte overholde FTC-avgjørelsen.

Kriteriene gjelder ofte; akkurat hvordan bestemmer en advokat hvilke data som kan påvirke kundene? Heldigvis er disse klart angitt i The Data Security and Breach Notice Act of 2015 utkast. Ganske vist understreker de viktigheten av å beskytte data om nasjonal sikkerhet, men de første og andre klausulene dekker store lekkasjer.

Varsler bør også være hurtige: Hvis din personlige økonomiske informasjon har blitt kompromittert, bør du (i teorien, i det minste) bli fortalt så snart som mulig. Det vil bety mer tid til å gjøre noe med det! Jo raskere du handler, desto mindre bør det påvirke deg. La oss bruke en britisk virksomhet som et eksempel på hva du ikke skal gjøre: Carphone Warehouse tok tre dager å kunngjøre at de hadde vært offer for en “sofistikert cyber-angrep.” Opptil 90 000 kredittkort kan bli påvirket, selv om disse dataene er kryptert, slik at risikoen reduseres.

For alle som er berørt av dette, informerte Carphone Warehouse kundene hva de skulle gjøre, inkludert å sørge for at banken din overvåker aktivitet og sjekker kredittvurderingen. I tillegg til disse tiltakene, bør du også endre passord på de spesifikke kontoene, samt alle du bruker det samme passordet på (og lære å lage en sikker en. 7 måter å lage passord som er både sikre og minneverdige 7 måter å Opprett passord som er både sikre og minneverdige Å ha et annet passord for hver tjeneste er et must i dagens onlineverden, men det er en forferdelig svakhet til tilfeldig genererte passord: det er umulig å huske dem alle. Men hvordan kan du muligens huske ... Les mer ), og vær forsiktig med telefonsamtaler advarsel om svindelaktivitet (spesielt fordi kriminelle ofte kan holde linjen åpen, så du ringer dem tilbake i stedet for banken din).

Gå gjennom en sjekkliste over hva du skal gjøre hvis du er offer for kredittkortbedrager Hva skal gjøres hvis du er et offer for online kredittkortbedrager Hva å gjøre hvis du er et offer for online kredittkortbedrager Les mer, og husk hva bankene aldri vil spørre deg på nettet Fem ting Banker vil aldri spørre deg på nettet Fem ting Banker vil aldri spørre deg på nettet Har du mottatt en e-post fra banken din som har mistenkelig kontoaktivitet? Slike meldinger er nesten alltid svindel, så her er noen få ting din bank aldri vil be om på nettet - men svindlere vil. Les mer eller over telefonen.

Varsler kan også koste penger. Å la hver kunde vite om ethvert brudd spiser opp ressurser. Ja, omgå dette ville være bedre for bedrifter, men det betyr også at de kan fokusere på å lukke potensielle hull i deres sikkerhet og undersøke brudd. Bedrifter må sees å gjøre noe med sine sikkerhetsproblemer, og prøver å redusere skade på deres omdømme. Carphone Warehouse apologized og blokkert tilgang til nettstedene, men så langt tilbyr de ikke penger til noen ofre for bedragerisk aktivitet.

På godt og vondt?

Det er ikke lov enda. Jeg sier ikke det er en ideell situasjon. Tilsvarende må det ikke være så ille som det høres ut.

Kunder gjør panikk - og det er en forståelig reaksjon. Kan du klandre bedrifter for å redusere den bekymringen ... og skade på sitt rykte og økonomi!

På den annen side, hvis en bedrift holder disse tingene hemmelige, hvordan kan du noensinne stole på dem? Føler du deg trygge og gir dem dine personlige opplysninger? Og garanterer de tilliten din?

Image Credits: finger over lepper av Dean Drobot via Shutterstock, Security - Dictionary av American Advisors Group; The Carphone Warehouse av morebyless; og mål av Mike Mozart.

Utforsk mer om: Hacking, Online Privacy.

« Hvorfor endring av brukeragenten din er fortsatt nyttig i dag (og hvordan du gjør det) Hvorfor datatilfellefritak er mer skadelig enn du tror »