Pourquoi les entreprises en gardant les violations un secret pourrait être une bonne chose
Avec la richesse de l`information en ligne, nous inquiétons tous de failles de sécurité potentielles. Mais potentiellement, ces violations pourraient être gardé secret aux Etats-Unis.
Contenu
Il est rare d`un mois ne passe sans grondements de violations de données. Juste regarder la fuite Ashley Madison, qui a vu les détails du compte des conjoints tricherie en ligne sous-évaluées. Il est une grosse affaire, et a des conséquences graves. Les utilisateurs de AdultFriend Finder avait des maux de tête similaires en mai. Même eBay a été compromise l`année dernière.Ashley Madison piratages Les utilisateurs, Speak Like Stephen Hawking ... [Tech Digest Nouvelles]Ashley Madison piratages Les utilisateurs, Speak Like Stephen Hawking ... [Tech Digest Nouvelles]Cheaters sont démasqué sur le web sombre, comment parler comme Hawking, aux États-Unis conserve le contrôle de l`ICANN, investir dans les jeux vidéo à travers la figure, regarder Netflix de loin, et prendre selfies avec des zombies.Lire la suite
En gardant toute sorte de fuite un secret semble fou. Mais est-il?
Il serait dans l`intérêt des sociétés concernées, bien sûr, mais il pourrait aussi y avoir un effet positif sur coup pour les clients aussi. Pas vraiment. Ce n`est pas tous les roses, mais il pourrait ne pas être aussi terrible que cela puisse paraître non plus.
Lorsque les entreprises se taisent
Un projet de loi pourrait permettre aux entreprises de, dans certaines circonstances, restent peu loquace lorsque les pirates d`accéder à leurs systèmes - mais seulement s`ils croient qu`il ya une telle violation « aucune chance raisonnable » pourrait sérieusement affecter les clients. En règle générale, toute victime de l`entreprise aux pirates aurait besoin d`envoyer les détails à la Federal Trade Commission (FTC). Il serait lois sur la divulgation de l`état actuel, dont la plupart poussent les entreprises à annoncer les fuites, sans objet.
En gros, si rien sensibles ou potentiellement dommageable est volé, les entreprises ne doivent pas vous informer quand ils piraté.
les entreprises Hacked auraient besoin d`évaluer si les données extraites sont les clients doivent se soucier de quoi que ce soit, par exemple. pourrait conduire au vol ou informations bancaires identité. Les procédures normales devraient alors suivre. Notifications devraient être envoyés si:
« Un securitybreachinvolves: (1) les renseignements personnels de plus de 10.000 personnes, (2) une base de données contenant les informations personnelles de plus de 1 million de personnes, (3) les bases de données du gouvernement fédéral, ou (4) les renseignements personnels des employés fédéraux ou entrepreneurs connus pour être impliqués dans la sécurité nationale ou l`application de la loi « .
Gerald Ferguson, un avocat de la protection des renseignements personnels à Baker & Hostetler LLP qui conseille les entreprises en cas de fuite se produisent, a déclaré au Wall Street Journal:
« [Le projet de loi] conduirait à moins de notifications ... Il permettrait aux entreprises de faire une seconde analyse de savoir s`il existe un risque raisonnable de préjudice financier. Lorsque vous commencez à faire un risque d`analyse des risques il y a beaucoup de discrétion « .
La sécurité des données et notification de violation Loi 2015 a été lu deux fois et renvoyé au Comité sur le commerce, la science et les transports en Janvier.
Pourquoi est-ce Idéal pour les entreprises
Ceci est tout au sujet ce qui, ironiquement, Ashley Madison offert: discrétion.Ashley Madison Leak No Big Deal? Détrompez-vousAshley Madison Leak No Big Deal? Détrompez-vousDiscret en ligne site de rencontres Ashley Madison (cible principalement les conjoints tricherie) a été piraté. Toutefois, c`est un problème beaucoup plus grave que ce qui a été dépeint dans la presse, avec des implications considérables pour la sécurité des utilisateurs.Lire la suite
La réputation est la clé. Voilà pourquoi, par exemple, Carphone Warehouse est resté évasif sur leur violation récente, qui a pu affecter 2,4 millions de personnes au Royaume-Uni, aussi longtemps que possible. Personne ne veut utiliser une entreprise pour laquelle ils pensent est vulnérable aux attaques. Oracle lui-même tiré dans le pied en mendiant clients pas de désosser leur code pour trouver des problèmes de sécurité. C`est la même chose que vous avez admis beaucoup de questions relatives à la sécurité, ou lancer une énorme lecture de signe, « Vous ne pouvez pas nous faire confiance avec vos informations personnelles! »
Bon cri, Oracle.
Réputation signifie beaucoup. Cela signifie l`argent. Une étude a révélé que 2014 entreprises ont dépensé en moyenne 145 $ pour chaque enregistrement de fuite dans une violation de données, mais quand détaillant populaire, a annoncé que la cible Les cartes de crédit de 40 millions de clients avaient été compromis en 2013, les victimes pourraient réclamer jusqu`à 10 000 $ en dommages-intérêts (si elle était beaucoup moins dans l`ensemble). C`était 10 millions $ au total.Cible Confirme Jusqu`à 40 millions de clients aux États-Unis Cartes de crédit potentiellement hackéCible Confirme Jusqu`à 40 millions de clients aux États-Unis Cartes de crédit potentiellement hackéTarget vient de confirmer qu`un piratage aurait pu compromettre les informations de carte de crédit pour un maximum de 40 millions de clients qui ont magasiné dans ses magasins aux États-Unis entre le 27 Novembre et le 15 Décembre 2013.Lire la suite
Il ne semble pas avoir stock gravement endommagés la Target Corporation, bien que les prix ont pendage suite à la violation. Il pourrait avoir en fait contribué à l`information qu`ils divulgués avant qu`ils ne soient légalement tenus de.
Néanmoins, il était risqué. Douglas repas, avocat à la Securities and Exchange Commission Mars dernier, a déclaré:
« [I] f ne jamais divulguer la violation du tout, alors vous n`avez pas les costumes d`action de classe ... Il est la divulgation de la violation qui crée la tempête de feu des litiges ... Les entreprises pensent qu`ils font la bonne chose en divulguant mais finissent par étant considéré comme le problème « .
Pourquoi est-il peut-être bon pour les clients ..
Le spin? Trop de notifications signifient paniquer les clients avec inquiétude inutile. Ceci est sans aucun doute une bonne chose pour les entreprises soumises aux pirates, mais il pourrait être une bonne chose pour vous aussi.
Un gros problème en ce moment avec la divulgation aux États-Unis sont les lois de la division de l`État. Le respect des réglementations différentes dans les différents États ralentit le processus de laisser les gens savent réellement ce qui est arrivé. Au lieu de sauter à travers des cerceaux séparés, les entreprises auraient seulement besoin de se conformer à la décision de la FTC.
Les critères sont concerning- souvent juste comment un avocat déterminer quelles données pourraient affecter les clients? Heureusement, ceux-ci sont clairement énoncées dans la sécurité des données et violation Loi sur la notification 2015 projet. Certes, ils soulignent l`importance de la protection des données relatives à la sécurité nationale, mais les première et deuxième clauses couvrent toutes les fuites importantes.
Les notifications doivent être rapides ainsi: si vos renseignements financiers personnels a été compromise, vous devriez (en théorie, au moins) être dit plus tôt que possible. Ça veut dire plus de temps pour faire quelque chose! Plus vite vous agissez, moins il devrait vous avoir un impact. Utilisons une entreprise au Royaume-Uni comme un exemple de ce qu`il ne faut faire: Carphone Warehouse a pris trois jours pour annoncer qu`ils avaient été victimes d`un Jusqu`à 90.000 cartes de crédit pourraient être touchées, même si ces données sont cryptées, « cyber-attaque sophistiquée. » de sorte que le risque est réduit.
Pour toute personne touchée par cela, Carphone Warehouse a conseillé aux clients ce qu`il faut faire, y compris en veillant à vos moniteurs bancaires activité, et de vérifier votre cote de crédit. En plus de ces mesures, vous devez également modifier les mots de passe sur ces comptes spécifiques, ainsi que tout vous utilisez le même mot de passe (et apprendre à créer une sécurité), Et se méfier des appels téléphoniques d`avertissement d`activité frauduleuse (d`autant plus que les criminels peuvent souvent garder la ligne ouverte, afin que vous les rappeler au lieu de votre banque).7 façons de faire des mots de passe à la fois sécurisé & Mémorable7 façons de faire des mots de passe à la fois sécurisé & MémorableAvoir un mot de passe différent pour chaque service est un must dans le monde en ligne d`aujourd`hui, mais il y a une terrible faiblesse des mots de passe générés au hasard: il est impossible de se souvenir de tous. Mais comment pouvez-vous rappeler ...Lire la suite
Passez par une liste de ce qu`il faut faire si vous êtes victime de fraude par carte de crédit, et garder à l`esprit ce que les banques ne vous demanderont jamais en ligne ou par téléphone.
Les notifications peuvent coûter de l`argent, aussi. Laisser chaque client au courant de toute violation mange des ressources. Oui, sans passer par ce serait mieux pour les entreprises, mais cela signifie aussi qu`ils peuvent se concentrer sur la fermeture des trous potentiels dans leur sécurité et enquêter sur les infractions. Les entreprises doivent voir faire quelque chose au sujet de leurs failles de sécurité, en essayant de réduire les dommages causés à leur réputation. Carphone Warehouse a présenté ses excuses et a bloqué l`accès aux sites, mais jusqu`à présent, ils ne sont pas offrir de l`argent à des victimes d`activités frauduleuses.
Pour le meilleur ou pour le pire?
Ce n`est pas encore force de loi. Je ne dis pas que c`est une situation idéale. De même, il ne doit pas être aussi mauvais que cela puisse paraître.
Les clients ne panique - et c`est une réaction compréhensible. Pouvez-vous blâmer les entreprises de vouloir réduire cette inquiétude ... et les dommages à sa réputation et de la finance!
D`autre part, si une entreprise conserve ces choses secrètes, comment pouvez-vous jamais leur faire confiance? Vous sentez-vous en sécurité en leur donnant vos renseignements personnels? Et ils ne justifient votre confiance?