Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> ความปลอดภัยของเครือข่าย

เหตุใดบริษัทที่ปกปิดการละเมิดความลับจึงอาจเป็นสิ่งที่ดี

ด้วยข้อมูลมากมายทางออนไลน์ เราทุกคนต่างกังวลเกี่ยวกับการละเมิดความปลอดภัยที่อาจเกิดขึ้น แต่การละเมิดเหล่านี้อาจเป็นความลับในสหรัฐอเมริกาได้

เป็นเรื่องยากที่จะผ่านไปหนึ่งเดือนโดยไม่มีการละเมิดข้อมูลดังก้อง เพียงแค่ดูที่การรั่วไหลของ Ashley Madison ซึ่งเห็นรายละเอียดบัญชีของคู่สมรสนอกใจถูกทิ้งทางออนไลน์ เป็นเรื่องใหญ่และมีผลกระทบร้ายแรง ผู้ใช้ AdultFriend Finder มีอาการปวดหัวที่คล้ายกันในเดือนพฤษภาคม แม้แต่ eBay ก็ถูกบุกรุกในปีที่แล้ว

การเก็บความลับที่รั่วไหลออกมานั้นฟังดูบ้ามาก แต่ใช่หรือไม่

แน่นอนว่ามันจะเป็นประโยชน์ต่อบริษัทที่เกี่ยวข้อง แต่ก็อาจส่งผลดีต่อลูกค้าได้เช่นกัน ไม่มีจริงๆ. ไม่ใช่ดอกกุหลาบทั้งหมด แต่ก็อาจไม่เลวร้ายอย่างที่คิดเช่นกัน

เมื่อบริษัทต่างๆ ยังคงนิ่งเงียบ

เหตุใดบริษัทที่ปกปิดการละเมิดความลับจึงอาจเป็นสิ่งที่ดี

กฎหมายที่เสนออาจอนุญาตให้บริษัทในบางสถานการณ์ยังคงปิดปากเงียบเมื่อแฮ็กเกอร์เข้าถึงระบบของพวกเขา – แต่ถ้าพวกเขาเชื่อว่า "ไม่มีโอกาสที่สมเหตุสมผล" การละเมิดดังกล่าวอาจส่งผลกระทบร้ายแรงต่อลูกค้า โดยปกติ บริษัทใดๆ ที่ตกเป็นเหยื่อของแฮ็กเกอร์จะต้องส่งรายละเอียดไปยัง Federal Trade Commission (FTC) มันจะทำให้กฎหมายเปิดเผยสถานะปัจจุบัน ซึ่งส่วนใหญ่ผลักดันให้บริษัทประกาศการรั่วไหล เป็นที่สงสัย

โดยพื้นฐานแล้ว หากไม่มีสิ่งใดที่ละเอียดอ่อนหรืออาจสร้างความเสียหายได้ ธุรกิจก็ไม่จำเป็นต้องแจ้งให้คุณทราบเมื่อถูกแฮ็ก

ธุรกิจที่ถูกแฮ็กจะต้องประเมินว่าข้อมูลที่ดึงออกมานั้นเป็นสิ่งที่ลูกค้าควรกังวลหรือไม่ กล่าวคือ อาจนำไปสู่การโจรกรรมข้อมูลประจำตัวหรือข้อมูลธนาคาร ขั้นตอนปกติก็จะต้องปฏิบัติตาม จะต้องส่งการแจ้งเตือนหาก:

"การละเมิดความปลอดภัยเกี่ยวข้องกับ:(1) ข้อมูลส่วนบุคคลของบุคคลมากกว่า 10,000 คน (2) ฐานข้อมูลที่มีข้อมูลส่วนบุคคลของบุคคลมากกว่า 1 ล้านคน (3) ฐานข้อมูลของรัฐบาลกลาง หรือ (4) ข้อมูลส่วนบุคคลของรัฐบาลกลาง พนักงานหรือผู้รับเหมาที่ทราบว่าเกี่ยวข้องกับความมั่นคงของชาติหรือการบังคับใช้กฎหมาย"

Gerald Ferguson ทนายความด้านความเป็นส่วนตัวของ Baker &Hostetler LLP ซึ่งให้คำแนะนำบริษัทต่างๆ เมื่อเกิดการรั่วไหล บอกกับ Wall Street Journal:

"[ใบเรียกเก็บเงิน] จะทำให้การแจ้งเตือนน้อยลง... จะอนุญาตให้บริษัททำการวิเคราะห์ครั้งที่สองว่ามีความเสี่ยงที่สมเหตุสมผลหรือไม่ที่จะเกิดอันตรายทางการเงิน เมื่อคุณเริ่มทำการวิเคราะห์ความเสี่ยง คุณจะต้องใช้ดุลยพินิจอย่างมาก ."

พระราชบัญญัติการรักษาความปลอดภัยข้อมูลและการแจ้งเตือนการละเมิดปี 2015 มีการอ่านสองครั้งและได้อ้างอิงถึงคณะกรรมการการพาณิชย์ วิทยาศาสตร์ และการขนส่งในเดือนมกราคม

เหตุใดจึงเหมาะสำหรับธุรกิจ

นี่คือสิ่งที่น่าขันที่ Ashley Madison เสนอ:ดุลยพินิจ

ชื่อเสียงเป็นสิ่งสำคัญ นั่นเป็นเหตุผลที่ Carphone Warehouse ยังคงขี้อายต่อการละเมิดล่าสุด ซึ่งอาจส่งผลกระทบต่อผู้คน 2.4 ล้านคนในสหราชอาณาจักรให้นานที่สุด ไม่มีใครอยากใช้บริษัทที่พวกเขาคิดว่าเสี่ยงต่อการถูกโจมตี Oracle ยิงตัวเองด้วยการขอร้องให้ลูกค้าไม่ทำวิศวกรรมย้อนกลับรหัสของพวกเขาเพื่อค้นหาปัญหาด้านความปลอดภัย เหมือนกับการยอมรับว่าคุณมีปัญหามากมายเกี่ยวกับความปลอดภัย หรือเขียนป้ายขนาดใหญ่ที่เขียนว่า "คุณไม่สามารถไว้วางใจเราด้วยข้อมูลส่วนบุคคลของคุณ!"

กรี๊ดดด ออราเคิล

ชื่อเสียงมีความหมายมาก มันหมายถึงเงิน ผลการศึกษาในปี 2014 เปิดเผยว่าธุรกิจต่างๆ ใช้จ่ายเฉลี่ย $145 ต่อระเบียนที่รั่วไหลจากการละเมิดข้อมูล แต่เมื่อผู้ค้าปลีกยอดนิยม Target ประกาศว่าบัตรเครดิตของลูกค้า 40 ล้านใบถูกบุกรุกในปี 2013 ผู้ที่ตกเป็นเหยื่อสามารถเรียกร้องค่าเสียหายได้สูงถึง $10,000 (แม้ว่า โดยรวมถือว่าน้อยกว่ามาก) นั่นคือทั้งหมด 10 ล้านดอลลาร์

เหตุใดบริษัทที่ปกปิดการละเมิดความลับจึงอาจเป็นสิ่งที่ดี

ดูเหมือนว่าจะไม่มีสต็อกเสียหายอย่างใหญ่หลวงใน Target Corporation แม้ว่าราคาจะลดลงหลังจากการละเมิด อาจช่วยได้จริงที่พวกเขาเปิดเผยข้อมูลก่อนที่พวกเขาจะถูกบังคับ

อย่างไรก็ตาม มันก็เสี่ยง Douglas Meal ทนายความของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์เมื่อเดือนมีนาคมที่ผ่านมากล่าวว่า:

"[I]ถ้าคุณไม่เคยเปิดเผยการละเมิดเลย แสดงว่าคุณไม่มีชุดดำเนินคดีแบบกลุ่ม... เป็นการเปิดเผยการละเมิดที่ก่อให้เกิดไฟแห่งการดำเนินคดี... บริษัทต่างๆ คิดว่าพวกเขากำลังทำสิ่งที่ถูกต้องโดยเปิดเผยแต่กลับกลายเป็นว่า กลับถูกมองว่าเป็นปัญหา"

เหตุใดจึงมีประโยชน์ต่อลูกค้า...

การหมุน? การแจ้งเตือนมากเกินไปทำให้ลูกค้าตื่นตระหนกด้วยความกังวลที่ไม่จำเป็น ไม่ต้องสงสัยเลยว่านี่เป็นการเคลื่อนไหวที่ดีสำหรับธุรกิจที่ต้องถูกแฮ็กเกอร์ แต่อาจเป็นการเคลื่อนไหวที่ดีสำหรับคุณเช่นกัน

ปัญหาใหญ่ในตอนนี้ที่มีการเปิดเผยในสหรัฐอเมริกาคือกฎหมายการแบ่งแยกของรัฐ การปฏิบัติตามกฎระเบียบต่างๆ ในรัฐต่างๆ จะทำให้กระบวนการแจ้งให้ผู้คนทราบว่าเกิดอะไรขึ้นช้าลง แทนที่จะกระโดดข้ามห่วงที่แยกจากกัน บริษัทต่างๆ จะต้องปฏิบัติตามคำตัดสินของ FTC เท่านั้น

เกณฑ์มักเกี่ยวข้องกับ ทนายความจะกำหนดว่าข้อมูลใดบ้างที่อาจส่งผลกระทบต่อลูกค้าได้อย่างไร โชคดีที่สิ่งเหล่านี้ได้ระบุไว้อย่างชัดเจนในร่างพระราชบัญญัติการรักษาความปลอดภัยข้อมูลและการแจ้งเตือนการละเมิดปี 2558 เป็นที่ยอมรับว่าพวกเขาเน้นย้ำถึงความสำคัญของการปกป้องข้อมูลที่เกี่ยวกับความมั่นคงของชาติ แต่ข้อแรกและข้อที่สองครอบคลุมถึงการรั่วไหลที่สำคัญใดๆ

เหตุใดบริษัทที่ปกปิดการละเมิดความลับจึงอาจเป็นสิ่งที่ดี

การแจ้งเตือนควรรวดเร็วเช่นกัน หากข้อมูลทางการเงินส่วนบุคคลของคุณถูกบุกรุก คุณควรได้รับการแจ้ง (ในทางทฤษฎี อย่างน้อย) โดยเร็วที่สุด นั่นหมายถึงมีเวลามากขึ้นที่จะทำอะไรบางอย่างกับมัน! ยิ่งคุณดำเนินการเร็วเท่าไร ก็ยิ่งส่งผลน้อยลงเท่านั้น ลองใช้ธุรกิจในสหราชอาณาจักรเป็นตัวอย่างว่าไม่ควรทำอะไร:Carphone Warehouse ใช้เวลาสามวันในการประกาศว่าพวกเขาตกเป็นเหยื่อของ "การโจมตีทางไซเบอร์ที่ซับซ้อน" อาจได้รับผลกระทบบัตรเครดิตมากถึง 90,000 ใบ แม้ว่าข้อมูลนี้จะได้รับการเข้ารหัส ดังนั้นความเสี่ยงจะลดลง

สำหรับใครก็ตามที่ได้รับผลกระทบจากสิ่งนี้ Carphone Warehouse จะแนะนำลูกค้าว่าต้องทำอย่างไร รวมถึงตรวจสอบให้แน่ใจว่าธนาคารของคุณติดตามกิจกรรม และตรวจสอบอันดับเครดิตของคุณ นอกจากมาตรการเหล่านี้แล้ว คุณควรเปลี่ยนรหัสผ่านในบัญชีเฉพาะเหล่านั้น รวมถึงรหัสผ่านใด ๆ ที่คุณใช้รหัสผ่านเดียวกัน (และเรียนรู้วิธีสร้างรหัสที่ปลอดภัย) และระวังการโทรศัพท์เตือนถึงกิจกรรมที่เป็นการฉ้อโกง (โดยเฉพาะเมื่อ อาชญากรมักจะเปิดสายไว้ ดังนั้นคุณจึงโทรกลับแทนธนาคารของคุณ)

ดูรายการตรวจสอบสิ่งที่ควรทำหากคุณตกเป็นเหยื่อของการฉ้อโกงบัตรเครดิต และจำไว้ว่าธนาคารใดจะไม่ถามคุณทางออนไลน์หรือทางโทรศัพท์

การแจ้งเตือนสามารถเสียเงินได้เช่นกัน การแจ้งให้ลูกค้าทุกคนทราบเกี่ยวกับการละเมิดทุกครั้งจะกินทรัพยากร ใช่ การหลีกเลี่ยงสิ่งนี้จะดีกว่าสำหรับบริษัท แต่ก็หมายความว่าพวกเขาสามารถมุ่งเน้นไปที่การปิดช่องโหว่ที่อาจเกิดขึ้นในการรักษาความปลอดภัยและตรวจสอบการละเมิด บริษัทต่างๆ จะต้องถูกมองว่ากำลังทำอะไรบางอย่างเกี่ยวกับช่องโหว่ด้านความปลอดภัย พยายามลดความเสียหายต่อชื่อเสียงของพวกเขา Carphone Warehouse ขอโทษและปิดกั้นการเข้าถึงไซต์ แต่จนถึงขณะนี้พวกเขาไม่ได้เสนอเงินให้กับผู้ที่ตกเป็นเหยื่อของการฉ้อโกง

ดีขึ้นหรือแย่ลง

เหตุใดบริษัทที่ปกปิดการละเมิดความลับจึงอาจเป็นสิ่งที่ดี

มันยังไม่ใช่กฎหมาย ฉันไม่ได้บอกว่ามันเป็นสถานการณ์ในอุดมคติ ไม่จำเป็นต้องเลวร้ายอย่างที่คิด เช่นเดียวกัน

ลูกค้าตื่นตระหนก – และนั่นเป็นปฏิกิริยาที่เข้าใจได้ คุณโทษบริษัทที่ต้องการลดความกังวลนั้น... และความเสียหายต่อชื่อเสียงและการเงินของบริษัทได้ไหม!

ในทางกลับกัน หากธุรกิจเก็บสิ่งเหล่านี้ไว้เป็นความลับ คุณจะเชื่อใจได้อย่างไร? คุณรู้สึกปลอดภัยที่จะให้ข้อมูลส่วนตัวของคุณกับพวกเขาหรือไม่? และพวกเขารับประกันความมั่นใจของคุณหรือไม่