違反を秘密にしている企業が良いことかもしれない理由
オンラインの豊富な情報により、私たちは皆、潜在的なセキュリティ侵害について心配しています。しかし、潜在的に、これらの違反は米国では秘密にされる可能性があります。
データ漏えいの轟音なしに1か月が経過することはめったにありません。アシュレイ・マディソンのリークを見てください。これは、オンラインでダンプされた浮気配偶者のアカウントの詳細を見たものです。それは大きな問題であり、深刻な結果をもたらします。 AdultFriend Finderのユーザーは、5月に同様の頭痛の種を抱えていました。昨年はeBayでさえ侵害されました。
あらゆる種類のリークを秘密にしておくことは、気が狂ったように聞こえます。でもそうですか?
もちろん、関係する企業の利益になるでしょうが、顧客にとってもプラスのノックオン効果がある可能性があります。いいえ、本当に。すべてがバラではありませんが、聞こえるほどひどいものではないかもしれません。
提案された法律により、企業は、状況によっては、ハッカーがシステムにアクセスしたときに口を閉ざしたままにすることができますが、そのような違反が顧客に深刻な影響を与える可能性があると「合理的な可能性がない」と信じている場合に限ります。通常、ハッカーの被害を受けた企業は、連邦取引委員会(FTC)に詳細を送信する必要があります。それは現在の州の開示法を作り、そのほとんどは企業にリークを発表するように促します。
基本的に、機密性の高いものや潜在的に損害を与えるものが盗まれた場合、企業はハッキングされたときに通知する必要はありません。
ハッキングされた企業は、抽出されたデータが顧客が心配すべきものであるかどうかを評価する必要があります。個人情報の盗難や銀行情報につながる可能性があります。その後、通常の手順に従う必要があります。次の場合に通知を送信する必要があります:
「セキュリティ違反には、(1)10,000人を超える個人の個人情報、(2)100万人を超える個人の個人情報を含むデータベース、(3)連邦政府のデータベース、または(4)連邦政府の個人情報が含まれます。国家安全保障または法執行に関与していることがわかっている従業員または請負業者。」
Baker&HostetlerLLPのプライバシー弁護士でリークが発生したときに企業に助言するGeraldFergusonは、ウォールストリートジャーナルに次のように語っています。
「[法案]は通知の減少につながるでしょう...それは企業が経済的危害の合理的なリスクがあるかどうかの2番目の分析を行うことを可能にします。あなたが危害のリスク分析を始めているときは多くの裁量があります。"
2015年のデータセキュリティおよび違反通知法は2回読まれ、1月に商務科学運輸委員会に照会されました。
これは、皮肉なことに、アシュレイ・マディソンが提供したもの、つまり裁量に関するものです。
評判が鍵となります。そのため、たとえば、Carphone Warehouseは、英国の240万人に影響を与えた可能性のある最近の違反について、可能な限り恥ずかしがり屋でした。攻撃を受けやすいと思われる会社を利用したいと思う人は誰もいません。オラクルは、セキュリティの問題を見つけるためにコードをリバースエンジニアリングしないように顧客に懇願することで、足を踏み入れました。これは、セキュリティに関する多くの問題があることを認めるのと同じです。 、または「あなたはあなたの個人情報で私たちを信頼することはできません!」という巨大な看板を投げます
オラクル、大声で。
評判は多くのことを意味します。それはお金を意味します。 2014年の調査によると、企業はデータ侵害で漏洩したレコードごとに平均145ドルを費やしましたが、人気のある小売業者であるTargetは、2013年に4,000万人の顧客のクレジットカードが侵害されたと発表しましたが、被害者は最大10,000ドルの損害賠償を請求する可能性があります。全体的にかなり少なかった)。合計で1,000万ドルでした。
違反を受けて価格が下落したものの、対象企業の株に大きなダメージを与えたようには見えない。法的に義務付けられる前に情報を開示したことが実際に役立った可能性があります。
それにもかかわらず、それは危険でした。昨年3月の証券取引委員会の弁護士であるダグラスミールは次のように述べています。
「[私]あなたが違反をまったく開示しない場合、集団訴訟はありません...訴訟の火の嵐を生み出すのは違反の開示です...企業は開示することによって正しいことをしていると考えていますが、代わりに結局、問題と見なされることになります。」
スピン?通知が多すぎると、不必要な心配で顧客をパニックに陥らせることになります。これは、ハッカーの影響を受ける企業にとっては間違いなく良い動きですが、あなたにとっても良い動きかもしれません。
現在、米国での開示に関する大きな問題は、州の除算法です。州全体のさまざまな規制に準拠すると、実際に何が起こったのかを人々に知らせるプロセスが遅くなります。別々のフープを飛び越える代わりに、企業はFTCの決定に従うだけで済みます。
基準はしばしば懸念されます。弁護士は、どのデータが顧客に影響を与える可能性があるかをどのように判断するのでしょうか。幸いなことに、これらは2015年ドラフトのデータセキュリティおよび違反通知法に明確に示されています。確かに、彼らは国家安全保障に関するデータを保護することの重要性を強調していますが、最初と2番目の条項はあらゆる主要なリークをカバーしています。
通知も迅速に行う必要があります。個人の財務情報が漏洩した場合は、(少なくとも理論的には)できるだけ早く通知する必要があります。それはそれについて何かをするためのより多くの時間を意味するでしょう!行動が速ければ速いほど、影響は少なくなります。してはいけないことの例として英国のビジネスを使用してみましょう。カーフォンウェアハウスは、「高度なサイバー攻撃」の犠牲になったと発表するのに3日かかりました。このデータは暗号化されていますが、最大90,000枚のクレジットカードが影響を受ける可能性があるため、リスクは軽減されます。
これに影響を受けた人のために、Carphone Warehouseは、銀行が活動を監視していることを確認したり、信用格付けを確認したりするなど、何をすべきかを顧客にアドバイスしました。これらの対策に加えて、これらの特定のアカウントのパスワードを変更する必要があります。また、同じパスワードを使用する(そして安全なパスワードを作成する方法を学ぶ)場合は、不正行為を警告する電話に注意する必要があります(特に犯罪者は多くの場合、回線を開いたままにしておくことができるため、銀行ではなく電話をかけ直します。
クレジットカード詐欺の被害者である場合の対処方法のチェックリストに目を通し、銀行がオンラインや電話で決してあなたに尋ねないことを覚えておいてください。
通知にも費用がかかる場合があります。すべての違反についてすべての顧客に知らせると、リソースが消費されます。はい、これを回避することは企業にとってより良いことですが、それはまた、セキュリティの潜在的な穴を塞ぎ、違反を調査することに集中できることを意味します。企業は、セキュリティの脆弱性について何かをしているように見え、評判へのダメージを減らしようとしている必要があります。カーフォンウェアハウスは、サイトへのアクセスを謝罪し、ブロックしましたが、これまでのところ、不正行為の被害者に金銭を提供していません。
良くも悪くも?
まだ法律ではありません。理想的な状況だと言っているのではありません。同様に、思ったほど悪くなくてもかまいません。
顧客はパニックに陥ります–そしてそれは理解できる反応です。その心配を減らしたいと企業を責めることができますか...そしてその評判と財政への損害!
一方、企業がこれらのことを秘密にしている場合、どうすればそれらを信頼できますか?彼らにあなたの個人情報を提供しても安全だと思いますか?そして、彼らはあなたの自信を保証しますか?
-
国が後援するハッキング:なぜそれが「モノ」になるのか
2014年の冬、ソニーは、インタビューのリリースに関して、北朝鮮からの疑いのあるハッキンググループからのかなりの圧力に対処しなければなりませんでした。 、国の指導者である金正恩を巻き込んだ風刺映画。この攻撃は、その洗練された性質により、国の認可を受けた作戦の一部であるとされ、その目標を達成することができました(つまり、ソニーが気が変わるまで映画館での映画の公開を取り下げることを余儀なくされました)。国家が誰かをハッキングしたのはこれが初めてではなく、また最後でもありません。また、企業だけが標的になる可能性もありません。インターネットが私たちの生活の中でよりユビキタスになるにつれて、国が後援する
-
オンラインでデータが匿名でなくなったのはなぜですか?
サイバー攻撃の増加に伴い、インターネットは安全な場所とはほど遠いものになっています。その一方で、世界の人々はこれまで以上にオンラインでの活動を開始しています。最近のパンデミックは、オンラインで過ごす時間が指数関数的に増加した理由の 1 つです。教育、ショッピング、バンキング、映画のストリーミング、在宅勤務など、インターネットが今日最も価値があり、最も必要とされている商品となったいくつかの要因があります。 オンライン アクティビティの問題は、住所、携帯電話番号、社会保障、運転免許証、クレジット カード情報などのすべての情報が含まれるアカウントにアクセスするための資格情報が必要なことです。ほと