Com a riqueza de informações on-line, todos nos preocupamos com possíveis violações de segurança. Mas, potencialmente, essas violações podem ser mantidas em segredo nos EUA.
É raro passar um mês sem rumores de violações de dados. Basta olhar para o Ashley Madison vazar Hackers Out Usuários de Ashley Madison, falar como Stephen Hawking ... [Tech News Digest] Hackers Usuários Ashley Madison, falar como Stephen Hawking ... [Tech News Digest] Cheaters são divulgados na web escuro, como falar como Hawking, os EUA mantêm o controle da ICANN, investem em videogames através do Fig, assistem Netflix de longe e fazem selfies com zumbis. Leia mais, que viu detalhes da conta de cônjuges batota despejados on-line. É um grande negócio, e tem graves consequências Ashley Madison: O que acontece agora sabemos que você é um trapaceiro Ashley Madison: O que acontece agora sabemos que você é um trapaceiro O site de namoro Ashley Madison foi recentemente hackeado por hackers que ameaçaram vazar o banco de dados inteiro, a menos que o site seja fechado. Esta semana, o banco de dados foi vazado. Suas indiscrições estão prestes a se tornar públicas? Consulte Mais informação . Os usuários do AdultFriend Finder tiveram dores de cabeça semelhantes Namoro Hack Site: Adult FriendFinder Corte Deixa Usuários Preocupado Dating Site Hack: Adulto FriendFinder Hack Deixa Usuários Preocupados Usuários do site de namoro online Adult FriendFinder - e os vários sites alternativos em sua rede - foram deixados com preocupações após surgiu a base de dados de quase 4 milhões de registros ... Read More in May. Mesmo eBay foi comprometida A quebra de dados eBay: O que você precisa saber A violação de dados do eBay: O que você precisa saber Leia mais no ano passado.
Mantendo qualquer tipo de vazamento, um segredo parece loucura. Mas é isso?
Seria do interesse das empresas envolvidas, é claro, mas também poderia haver um efeito positivo para os clientes. Não mesmo. Não são todas as rosas, mas pode não ser tão terrível quanto parece.
Quando as empresas ficam em silêncio
A legislação proposta pode permitir que as empresas, em algumas circunstâncias, permaneçam de boca fechada quando os hackers acessam seus sistemas - mas somente se acreditarem que "não há chances razoáveis", tal violação poderá afetar seriamente os clientes. Normalmente, qualquer empresa vítima de hackers precisaria enviar detalhes para a Federal Trade Commission (FTC). Isso tornaria as leis atuais de divulgação estadual, a maioria das quais levaria as empresas a anunciarem vazamentos.
Basicamente, se nada sensível ou potencialmente prejudicial for roubado, as empresas não precisam notificá-lo quando forem invadidas.
As empresas invadidas precisariam avaliar se os dados extraídos são algo com que os clientes devem se preocupar, por exemplo. pode levar a roubo de identidade ou informações bancárias. Procedimentos normais teriam então que seguir. As notificações devem ser enviadas se:
“Uma violação de segurança envolve: (1) as informações pessoais de mais de 10.000 indivíduos, (2) um banco de dados contendo informações pessoais de mais de 1 milhão de indivíduos, (3) bancos de dados do governo federal ou (4) informações pessoais de federais. funcionários ou contratados conhecidos por estarem envolvidos na segurança nacional ou na aplicação da lei. ”
Gerald Ferguson, advogado especializado em privacidade da Baker & Hostetler LLP, que assessora empresas quando há vazamentos, disse ao Wall Street Journal:
“[O projeto de lei] levaria a menos notificações ... Isso permitiria que as empresas fizessem uma segunda análise sobre se há um risco razoável de dano financeiro. Quando você está começando a fazer uma análise de risco de danos, há muita discrição ”.
A Lei de Segurança de Dados e Notificação de Violações de 2015 foi lida duas vezes e encaminhada ao Comitê de Comércio, Ciência e Transporte em janeiro.
Por que isso é ótimo para empresas
Isso é tudo sobre o que, ironicamente, Ashley Madison ofereceu Ashley Madison Leak No Big Deal? Pensar novamente Ashley Madison Leak No Big Deal? Pense de novo Discreto site de namoro on-line Ashley Madison (alvejado principalmente em cônjuges de engano) foi hackeado. No entanto, esta é uma questão muito mais séria do que a que foi retratada na imprensa, com implicações consideráveis para a segurança do usuário. Leia mais: discrição.
Reputação é a chave. É por isso que, por exemplo, a Carphone Warehouse permaneceu modesta em sua recente violação, que pode ter afetado 2, 4 milhões de pessoas no Reino Unido, pelo maior tempo possível. Ninguém quer usar uma empresa que eles acham que é vulnerável a ataques. A Oracle deu um tiro no pé implorando aos clientes que não fizessem engenharia reversa do código Oracle quer que você pare de enviá-los - por que isso é loucura Oracle quer que você pare de enviá-los - por que isso é loucura A Oracle está com água quente em um blog equivocado post pelo chefe de segurança, Mary Davidson. Essa demonstração de como a filosofia de segurança da Oracle se afasta do mainstream não foi bem recebida na comunidade de segurança ... Leia Mais para encontrar problemas de segurança. É o mesmo que admitir que você tem muitos problemas em relação à segurança ou lançar uma grande placa dizendo: "Você não pode confiar em nós com suas informações pessoais!"
Bom grito, Oracle.
Reputação significa muito. Isso significa dinheiro. Um estudo de 2014 revelou que as empresas gastaram uma média de US $ 145 para cada registro vazado em uma violação de dados, mas quando o varejista popular, a Target anunciou que 40 milhões de cartões de crédito foram comprometidos A meta confirma até 40 milhões de clientes dos EUA Confirma até 40 milhões de clientes dos EUA Cartões de crédito potencialmente hackeados A Target acabou de confirmar que um hack poderia ter comprometido as informações de cartão de crédito de até 40 milhões de clientes que fizeram compras em suas lojas nos EUA entre 27 de novembro e 15 de dezembro de 2013. Leia mais em 2013, as vítimas poderiam reivindicar até US $ 10.000 em danos (embora tenha sido consideravelmente menor no total). Que foi de US $ 10 milhões no total Alvo paga por violação de dados, PlayStation Vue Desafios Cable [Tech News Digest] Alvo paga por violação de dados, PlayStation Vue Desafio Cable [Tech News Digest] Alvo compensação de metas, visualizando PlayStation Vue, silenciando Facebook, jogando Chromecast, usando o God Mode da Netflix e pilotando um drone de velocidade. Consulte Mais informação .
Não parece ter ações maciçamente danificadas na Target Corporation, embora os preços tenham caído após a violação. Pode ter ajudado que eles divulgaram informações antes de serem legalmente obrigadas.
No entanto, foi arriscado. Douglas Meal, advogado da Securities and Exchange Commission em março passado, disse:
“Se você nunca divulgar a violação, então você não tem as ações coletivas. É a divulgação da violação que cria a tempestade de litígios. As empresas pensam que estão fazendo a coisa certa revelando, mas acabam sendo visto como o problema ”.
Por que poderia ser bom para os clientes ...
O giro Muitas notificações significam entrar em pânico em clientes com preocupações desnecessárias. Esta é, sem dúvida, uma boa jogada para empresas sujeitas a hackers, mas pode ser uma boa jogada para você também.
Um grande problema agora, com a divulgação nos EUA, são as leis de divisão do estado. A conformidade com as diferentes regulamentações nos estados desacelera o processo de realmente informar as pessoas sobre o que aconteceu. Em vez de saltar por aros separados, as empresas precisariam apenas cumprir a decisão da FTC.
Critérios são freqüentemente preocupantes; como um advogado determina quais dados podem afetar os clientes? Felizmente, estas estão claramente definidas na Lei de Segurança de Dados e Notificação de Violações de 2015. É certo que sublinham a importância de proteger os dados relativos à segurança nacional, mas as primeira e segunda cláusulas cobrem quaisquer vazamentos importantes.
As notificações também devem ser rápidas: se suas informações financeiras pessoais foram comprometidas, você deve (em teoria, pelo menos) ser informado o mais rápido possível. Isso significa mais tempo para fazer algo sobre isso! Quanto mais rápido você agir, menos impacto terá em você. Vamos usar um negócio no Reino Unido como um exemplo do que não fazer: o Carphone Warehouse levou três dias para anunciar que foi vítima de um “ataque cibernético sofisticado”. Até 90.000 cartões de crédito podem ser afetados, embora esses dados sejam criptografados, então o risco é reduzido.
Para qualquer pessoa afetada por isso, a Carphone Warehouse informou os clientes sobre o que fazer, inclusive certificando-se de que seu banco monitora a atividade e verificando sua classificação de crédito. Além dessas medidas, você também deve alterar senhas nessas contas específicas, bem como usar a mesma senha (e aprender a criar uma senha segura. 7 maneiras de criar senhas que são seguras e memoráveis 7 maneiras de Crie senhas que sejam seguras e memoráveis Ter uma senha diferente para cada serviço é uma necessidade no mundo on-line de hoje, mas há uma fraqueza terrível nas senhas geradas aleatoriamente: é impossível lembrar de todas elas. Mas como você pode se lembrar ... Leia mais), e seja cauteloso com chamadas telefônicas alertando sobre atividades fraudulentas (especialmente porque os criminosos podem manter a linha aberta, então você os chama de volta em vez de seu banco).
Vá através de uma lista de verificação do que fazer se você é uma vítima de fraude de cartão de crédito O que fazer se você é uma vítima de fraude de cartão de crédito on-line O que fazer se você é uma vítima de fraude de cartão de crédito on-line Leia mais, e Tenha em mente o que os bancos nunca perguntarão on-line Cinco coisas que os bancos nunca lhe perguntarão on-line Cinco coisas que os bancos nunca lhe perguntarão on-line Você já recebeu um e-mail de seu banco referente à atividade de conta suspeita? Tais mensagens são quase sempre fraudes, então aqui estão algumas coisas que seu banco nunca solicitará online - mas os fraudadores o farão. Leia mais ou pelo telefone.
As notificações podem custar dinheiro também. Permitir que todos os clientes saibam sobre cada violação consome recursos. Sim, contornar isso seria melhor para as empresas, mas também significa que elas podem se concentrar em fechar possíveis brechas em sua segurança e investigar violações. As empresas precisam ser vistas fazendo algo sobre suas vulnerabilidades de segurança, tentando reduzir os danos à sua reputação. A Carphone Warehouse pediu desculpas e bloqueou o acesso aos sites, mas até agora eles não estão oferecendo dinheiro para vítimas de atividades fraudulentas.
Para melhor ou pior?
Ainda não é lei. Eu não estou dizendo que é uma situação ideal. Da mesma forma, não precisa ser tão ruim quanto parece.
Os clientes entram em pânico - e essa é uma reação compreensível. Você pode culpar as empresas por querer reduzir essa preocupação… e prejudicar sua reputação e finanças!
Por outro lado, se uma empresa mantém essas coisas em segredo, como você pode confiar nelas? Você se sente seguro em dar-lhes suas informações pessoais? E eles garantem sua confiança?
Créditos de imagem: dedo sobre os lábios por Dean Drobot via Shutterstock, Security - Dictionary por American Advisors Group; O Carphone Warehouse por maisbyless; e alvo por Mike Mozart.