Waarom bedrijven die een geheim doorbreken een goed ding kunnen zijn
Met de schat aan informatie online, maken we ons allemaal zorgen over mogelijke beveiligingsinbreuken. Maar potentieel zouden deze inbreuken geheim kunnen worden gehouden in de VS..
Het is zeldzaam dat er een maand voorbijgaat zonder gerommel van datalekken. Kijk maar naar het Ashley Madison-lek Hackers Out Ashley Madison-gebruikers, spreek als Stephen Hawking ... Hackers uit Ashley Madison-gebruikers, spreek als Stephen Hawking ... [Tech News Digest] Cheaters zijn op dark web te vinden, hoe te praten Hawking, de VS houden de controle over ICANN, investeren in videogames via Fig, kijken Netflix van veraf en nemen selfies met zombies. Lees meer, waarin de accountgegevens van bedriegende echtgenoten online werden gedumpt. Het is een groot probleem en heeft serieuze gevolgen Ashley Madison: Wat gebeurt er nu We weten dat je een bedrieger bent Ashley Madison: wat er nu gebeurt We weten dat je een bedrieger bent De Ashley Madison-datingsite is onlangs gehackt door hackers die dreigden te lekken hele database tenzij de site gesloten is. Deze week is de database gelekt. Zijn jouw indiscrates op het punt om publiek te worden? Lees verder . Gebruikers van AdultFriend Finder hadden soortgelijke hoofdbrekens Dating Site Hack: Adult FriendFinder Hack Leaves Gebruikers Bezorgd Dating Site Hack: Adult FriendFinder Hack Leaves Gebruikers Bezorgd Gebruikers van online datingsite Adult FriendFinder - en de verschillende alternatieve sites in zijn netwerk - zijn bezorgd gebleven na het bleek dat de database van bijna 4 miljoen records ... Lees meer in mei was. Zelfs eBay was in gevaar De schending van de eBay-gegevens: wat je moet weten De inbreuk op eBay-gegevens: wat je moet weten Meer lezen vorig jaar.
Elke vorm van lekken geheim houden, klinkt gek. Maar is het?
Het zou natuurlijk in het belang van de betrokken bedrijven zijn, maar er zou ook een positief domino-effect kunnen zijn voor klanten. Nee echt. Het zijn niet allemaal rozen, maar het is misschien ook niet zo erg als het klinkt.
Wanneer bedrijven stil blijven
Voorgestelde wetgeving zou bedrijven in staat kunnen stellen om in sommige omstandigheden de mond te snoeren wanneer hackers toegang krijgen tot hun systemen - maar alleen als ze geloven dat er “geen redelijke kans” een dergelijke inbreuk kan klanten ernstig treffen. Doorgaans moet elk bedrijf dat slachtoffer is van hackers details naar de Federal Trade Commission (FTC) sturen. Het zou de huidige openbaarmakingswetgeving maken, waarvan de meeste bedrijven ertoe aanzetten om lekken aan te kondigen, ruzie maken.
Kortom, als er niets gevoelig of potentieel schadelijk wordt gestolen, hoeven bedrijven u niet op de hoogte te stellen wanneer ze worden gehackt.
Bedrijven die gehackt zijn, moeten evalueren of de geëxtraheerde gegevens iets zijn waar klanten zich zorgen over moeten maken, dat wil zeggen. kan leiden tot identiteitsdiefstal of bankgegevens. Normale procedures zouden dan moeten volgen. Meldingen zouden moeten worden verzonden als:
“een inbreuk op de beveiliging houdt in: (1) de persoonlijke gegevens van meer dan 10.000 personen, (2) een database met de persoonlijke gegevens van meer dan 1 miljoen personen, (3) federale overheidsdatabases, of (4) de persoonlijke gegevens van federale werknemers of contractanten waarvan bekend is dat ze betrokken zijn bij de nationale veiligheid of rechtshandhaving.”
Gerald Ferguson, een privacyadvocaat bij Baker & Hostetler LLP die bedrijven adviseert wanneer er lekkages optreden, vertelde de Wall Street Journal:
“[De rekening] zou leiden tot minder meldingen ... Het zou bedrijven in staat stellen om een tweede analyse uit te voeren of er een redelijk risico op financiële schade bestaat. Wanneer u een risico op schadeanalyse begint te doen, is er veel discretie.”
De wet voor gegevensbeveiliging en schending van betwistingen van 2015 werd twee keer gelezen en werd in januari doorverwezen naar de Commissie voor handel, wetenschap en vervoer.
Waarom dit geweldig is voor bedrijven
Dit gaat allemaal over wat, ironisch genoeg, Ashley Madison Ashley Madison Leak No Big Deal aanbood? Think Again Ashley Madison Leak No Big Deal? Think Again Discreet online datingsite Ashley Madison (voornamelijk gericht op vals spelende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is verbeeld, met aanzienlijke gevolgen voor de gebruikersveiligheid. Lees meer: discretie.
Reputatie is de sleutel. Dat is de reden waarom Carphone Warehouse bijvoorbeeld terughoudend bleef bij hun recente overtreding, die mogelijk 2,4 miljoen mensen in het Verenigd Koninkrijk zo lang mogelijk heeft getroffen. Niemand wil een bedrijf gebruiken waarvan zij denken dat het kwetsbaar is voor aanvallen. Oracle heeft zichzelf in de voet geschoten door klanten te vragen hun code niet te reverse-engineeren. Oracle wil dat u stopt met het verzenden van die bugs - hier is het gekke Oracle wil dat u stopt met het verzenden van die bugs - hier is het gekke Oracle is in warm water over een misplaatste blog post door veiligheidsleider, Mary Davidson. Deze demonstratie van hoe de beveiligingsfilosofie van Oracle afwijkt van de mainstream werd niet goed ontvangen in de beveiligingsgemeenschap ... Lees meer om beveiligingsproblemen te vinden. Het is hetzelfde als toegeven dat je hebt veel problemen met beveiliging, of een enorm teken uitlezen, “U kunt ons niet vertrouwen met uw persoonlijke gegevens!”
Goede schreeuw, Oracle.
Reputatie betekent veel. Het betekent geld. Een studie uit 2014 onthulde dat bedrijven gemiddeld $ 145 besteedden aan elke record die gelekt was in een datalek, maar toen de populaire retailer Target aankondigde dat 40 miljoen creditcards van klanten waren gecompromitteerd. Doel Bevestigt maximaal 40 miljoen Amerikaanse klanten Creditcards potentieel gehackt doel Bevestigt maximaal 40 miljoen Amerikaanse klanten Creditcards Potentieel gehackt Target heeft zojuist bevestigd dat een hack de creditcardinformatie van 40 miljoen klanten die in de winkels in de Verenigde Staten hebben gewinkeld, tussen 27 november en 15 december 2013 heeft kunnen schaden. Meer informatie in In 2013 konden slachtoffers tot $ 10.000 aan schadevergoeding eisen (hoewel het over het algemeen aanzienlijk minder was). In totaal was dit $ 10 miljoen. Doelprijzen voor Data Breuk, PlayStation Vue Uitdagingen Kabel [Tech News Digest] Doelprijzen voor Data Breuk, PlayStation Vue Uitdagingen Kabel [Tech News Digest] Doel richt zich op compensatie, bekijken van PlayStation Vue, Facebook uitschakelen, Chromecast tennis spelen , gebruik de Netflix God-modus en vlieg een speeder-fietsdrone. Lees verder .
Het lijkt geen massaal beschadigde voorraad te hebben in de Target Corporation, hoewel de prijzen na de overtreding daalden. Het heeft misschien zelfs geholpen dat ze informatie openbaarden voordat ze wettelijk verplicht waren.
Niettemin was het riskant. Douglas Meal, advocaat bij de Securities and Exchange Commission afgelopen maart, zei:
“[I] Als je de breuk nooit openbaart, dan heb je de class action-kledij niet ... Het is de onthulling van de bres die de vuurproef van rechtszaken veroorzaakt ... Bedrijven denken dat ze het goede doen door te onthullen, maar in plaats daarvan uiteindelijk bekeken als het probleem.”
Waarom het goed zou kunnen zijn voor klanten ...
De spin? Te veel meldingen betekenen dat klanten in paniek raken met onnodige zorgen. Dit is ongetwijfeld een goede zet voor bedrijven die onderhevig zijn aan hackers, maar het is misschien ook een goede zet voor jou.
Een groot probleem op dit moment met openbaarmaking in de VS is de wetgeving inzake staatsdeling. Het naleven van verschillende voorschriften in verschillende staten vertraagt het proces om mensen daadwerkelijk te laten weten wat er is gebeurd. In plaats van door afzonderlijke hoepels te springen, hoeven bedrijven zich alleen aan de FTC-uitspraak te houden.
Criteria zijn vaak zorgwekkend; Hoe bepaalt een advocaat welke gegevens van invloed kunnen zijn op klanten? Gelukkig zijn deze duidelijk uiteengezet in The Data Security and Breck Notification Act van 2015. Toegegeven, zij onderstrepen het belang van de bescherming van gegevens met betrekking tot de nationale veiligheid, maar de eerste en tweede clausule hebben betrekking op eventuele grote lekken.
Meldingen moeten ook snel zijn: als uw persoonlijke financiële informatie is aangetast, moet u (in theorie tenminste) zo snel mogelijk op de hoogte worden gebracht. Dat betekent meer tijd om er iets aan te doen! Hoe sneller je acteert, hoe minder het je zou moeten beïnvloeden. Laten we een bedrijf in het VK gebruiken als een voorbeeld van wat niet te doen: Carphone Warehouse had drie dagen nodig om aan te kondigen dat ze het slachtoffer waren geworden van een “geavanceerde cyberaanval.” Tot 90.000 creditcards kunnen worden beïnvloed, hoewel deze gegevens worden gecodeerd, zodat het risico wordt verkleind.
Voor iedereen die hiermee te maken heeft, adviseerde Carphone Warehouse klanten wat te doen, inclusief zorgen dat uw bank zaken controleert en uw kredietwaardigheid controleren. Naast deze maatregelen moet u ook de wachtwoorden voor die specifieke accounts wijzigen, evenals alle wachtwoorden waarvoor u hetzelfde wachtwoord gebruikt (en leren hoe u een veilige kunt maken. 7 manieren om wachtwoorden op te maken die beide veilig en memorabel zijn 7 manieren om Make-up wachtwoorden die beide veilig en gedenkwaardig zijn Het hebben van een ander wachtwoord voor elke service is een must in de online wereld van vandaag, maar er is een vreselijke zwakte voor willekeurig gegenereerde wachtwoorden: het is onmogelijk om ze allemaal te onthouden. Maar hoe kunt u zich misschien herinneren ... Lees Meer ) en wees op uw hoede voor telefoontjes die waarschuwen voor frauduleuze activiteiten (vooral omdat criminelen de regel vaak open kunnen houden, zodat u ze terugbelt in plaats van uw bank).
Doorloop een checklist van wat u moet doen als u het slachtoffer bent van creditcardfraude Wat moet u doen als u slachtoffer bent van online creditcardfraude Wat moet u doen als u slachtoffer bent van online creditcardfraude Meer lezen, en onthoud wat banken je nooit online zullen vragen. Five Things Banks zal je nooit online vragen Vijf dingen die banken je nooit online zullen vragen Heb je ooit een e-mail ontvangen van je bank over verdachte accountactiviteit? Zulke berichten zijn bijna altijd oplichting, dus hier zijn een paar dingen die uw bank nooit online zal vragen - maar fraudeurs wel. Meer lezen of via de telefoon.
Meldingen kunnen ook geld kosten. Door elke klant op de hoogte te stellen van elke inbreuk, worden middelen verbruikt. Ja, het omzeilen van dit zou beter zijn voor bedrijven, maar het betekent ook dat ze zich kunnen concentreren op het dichten van potentiële gaten in hun beveiliging en het onderzoeken van inbreuken. Bedrijven moeten worden gezien als iets doen aan hun beveiligingskwetsbaarheden, in een poging om schade aan hun reputatie te verminderen. Carphone Warehouse verontschuldigde zich en blokkeerde de toegang tot de sites, maar tot nu toe bieden ze geen geld aan slachtoffers van frauduleuze activiteiten.
In voor en tegenspoed?
Het is nog geen wet. Ik zeg niet dat het een ideale situatie is. Het hoeft ook niet zo erg te zijn als het klinkt.
Klanten raken in paniek - en dat is een begrijpelijke reactie. Kun je bedrijven de schuld geven van het willen verminderen van die zorgen ... en schade aan de reputatie en financiën!
Aan de andere kant, als een bedrijf deze dingen geheim houdt, hoe kun je ze dan ooit vertrouwen? Voel je je veilig om hen je persoonlijke informatie te geven? En zij garanderen uw vertrouwen?
Image Credits: finger over lips door Dean Drobot via Shutterstock, Security - Dictionary by American Advisors Group; The Carphone Warehouse door morebyless; en Target door Mike Mozart.
Ontdek meer over: Hacking, online privacy.