Với vô số thông tin trực tuyến, tất cả chúng ta đều lo lắng về khả năng vi phạm bảo mật. Nhưng có khả năng, những vi phạm này có thể được giữ bí mật ở Hoa Kỳ.
Hiếm có tháng nào trôi qua mà không có hàng loạt vụ vi phạm dữ liệu. Chỉ cần nhìn vào vụ rò rỉ Ashley Madison, có thể thấy chi tiết tài khoản của vợ chồng gian dối bị tung lên mạng. Đó là một vấn đề lớn, và có hậu quả nghiêm trọng. Người dùng của AdultFriend Finder cũng bị đau đầu tương tự vào tháng 5. Ngay cả eBay cũng bị xâm phạm vào năm ngoái.
Giữ bí mật bất kỳ loại rò rỉ nào nghe có vẻ điên rồ. Nhưng có phải không?
Tất nhiên, nó sẽ vì lợi ích của các công ty liên quan, nhưng cũng có thể có tác động tích cực đến khách hàng. Không, thực sự. Nó không phải là tất cả hoa hồng, nhưng nó có thể không quá khủng khiếp như nó có vẻ.
Khi công ty im lặng
Luật được đề xuất có thể cho phép các công ty, trong một số trường hợp, giữ kín khi tin tặc truy cập vào hệ thống của họ - nhưng chỉ khi họ tin rằng "không có cơ hội hợp lý", vi phạm như vậy có thể ảnh hưởng nghiêm trọng đến khách hàng. Thông thường, bất kỳ công ty nào là nạn nhân của tin tặc sẽ cần gửi thông tin chi tiết đến Ủy ban Thương mại Liên bang (FTC). Nó sẽ đưa ra các luật công bố thông tin hiện hành của nhà nước, hầu hết trong số đó thúc đẩy các công ty công bố thông tin rò rỉ, tranh luận.
Về cơ bản, nếu không có gì nhạy cảm hoặc có khả năng gây tổn hại bị đánh cắp, các doanh nghiệp không cần thông báo cho bạn khi họ bị tấn công.
Các doanh nghiệp bị tấn công sẽ cần phải đánh giá xem dữ liệu được trích xuất có phải là bất cứ điều gì khách hàng nên lo lắng hay không. có thể dẫn đến hành vi trộm cắp danh tính hoặc thông tin ngân hàng. Các thủ tục thông thường sau đó sẽ phải tuân theo. Thông báo sẽ phải được gửi nếu:
"vi phạm bảo mật liên quan đến:(1) thông tin cá nhân của hơn 10.000 cá nhân, (2) cơ sở dữ liệu chứa thông tin cá nhân của hơn 1 triệu cá nhân, (3) cơ sở dữ liệu của chính phủ liên bang hoặc (4) thông tin cá nhân của liên bang nhân viên hoặc nhà thầu được biết là có liên quan đến an ninh quốc gia hoặc thực thi pháp luật. "
Gerald Ferguson, luật sư về quyền riêng tư tại Baker &Hostetler LLP, người tư vấn cho các công ty khi rò rỉ xảy ra, nói với Wall Street Journal:
"[Dự luật] sẽ dẫn đến ít thông báo hơn ... Nó sẽ cho phép các công ty thực hiện phân tích thứ hai về việc liệu có nguy cơ tổn hại tài chính hợp lý hay không. Khi bạn bắt đầu thực hiện phân tích rủi ro tác hại, bạn có rất nhiều quyết định . "
Đạo luật thông báo vi phạm và bảo mật dữ liệu năm 2015 đã được đọc hai lần và được chuyển đến Ủy ban Thương mại, Khoa học và Vận tải vào tháng Giêng.
Tại sao Điều này lại Tốt cho Doanh nghiệp
Trớ trêu thay, đây là tất cả những gì Ashley Madison đưa ra:sự tùy ý.
Danh tiếng là chìa khóa. Đó là lý do tại sao, ví dụ, Carphone Warehouse vẫn tỏ ra dè bỉu về vụ vi phạm gần đây của họ, có thể đã ảnh hưởng đến 2,4 triệu người ở Anh, càng lâu càng tốt. Không ai muốn sử dụng một công ty mà họ cho là dễ bị tấn công. Oracle đã tự bắn vào chân mình bằng cách cầu xin khách hàng không đảo ngược mã của họ để tìm ra các vấn đề bảo mật. Điều này cũng giống như việc thừa nhận bạn gặp rất nhiều vấn đề liên quan đến bảo mật hoặc đưa ra một biển báo lớn, "Bạn không thể tin tưởng chúng tôi với thông tin cá nhân của bạn!"
Chúc mừng, Oracle.
Danh tiếng có ý nghĩa rất lớn. Nó có nghĩa là tiền. Một nghiên cứu năm 2014 tiết lộ rằng các doanh nghiệp đã chi trung bình 145 đô la cho mỗi hồ sơ bị rò rỉ do vi phạm dữ liệu, nhưng khi nhà bán lẻ nổi tiếng Target thông báo rằng 40 triệu thẻ tín dụng của khách hàng đã bị xâm phạm vào năm 2013, nạn nhân có thể yêu cầu bồi thường thiệt hại lên tới 10.000 đô la (mặc dù nó đã ít hơn đáng kể trên toàn bộ). Tổng cộng đó là 10 triệu đô la.
Có vẻ như cổ phiếu của Target Corporation không bị hư hại hàng loạt, mặc dù giá đã giảm sau vụ vi phạm. Nó có thể thực sự hữu ích khi họ tiết lộ thông tin trước khi họ được yêu cầu về mặt pháp lý.
Tuy nhiên, nó rất rủi ro. Douglas Meal, luật sư tại Ủy ban Chứng khoán và Giao dịch vào tháng 3 năm ngoái, cho biết:
"[Tôi] nếu bạn không bao giờ tiết lộ vi phạm thì bạn sẽ không có đơn kiện tập thể ... Chính việc tiết lộ vi phạm đã tạo ra cơn bão tố tụng ... Các công ty nghĩ rằng họ đang làm đúng bằng cách tiết lộ nhưng thay vào đó cuối cùng bị coi là vấn đề. "
Tại sao nó có thể tốt cho khách hàng ...
Vòng quay? Quá nhiều thông báo đồng nghĩa với việc khiến khách hàng hoảng sợ vì lo lắng không cần thiết. Đây chắc chắn là một động thái tốt cho các doanh nghiệp bị tin tặc tấn công, nhưng nó cũng có thể là một động thái tốt cho bạn.
Một vấn đề lớn hiện nay với việc tiết lộ thông tin ở Hoa Kỳ là luật phân chia tiểu bang. Việc tuân thủ các quy định khác nhau giữa các tiểu bang làm chậm quá trình thực sự cho mọi người biết điều gì đã xảy ra. Thay vì nhảy qua các vòng riêng biệt, các công ty sẽ chỉ cần tuân thủ phán quyết của FTC.
Các tiêu chí thường liên quan đến; chỉ làm cách nào để luật sư xác định dữ liệu nào có thể ảnh hưởng đến khách hàng? May mắn thay, những điều này đã được trình bày rõ ràng trong dự thảo Đạo luật thông báo vi phạm và bảo mật dữ liệu năm 2015. Phải thừa nhận rằng họ nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu liên quan đến an ninh quốc gia, nhưng điều khoản thứ nhất và thứ hai đề cập đến mọi rò rỉ lớn.
Thông báo cũng phải nhanh chóng:nếu thông tin tài chính cá nhân của bạn đã bị xâm phạm, bạn (về lý thuyết, ít nhất) phải được thông báo càng sớm càng tốt. Điều đó có nghĩa là sẽ có nhiều thời gian hơn để làm điều gì đó về nó! Bạn hành động càng nhanh, nó càng ít tác động đến bạn. Hãy lấy một doanh nghiệp ở Vương quốc Anh làm ví dụ về việc không nên làm:Carphone Warehouse đã mất ba ngày để thông báo rằng họ đã là nạn nhân của một "cuộc tấn công mạng tinh vi". Lên đến 90.000 thẻ tín dụng có thể bị ảnh hưởng, mặc dù dữ liệu này đã được mã hóa, do đó rủi ro được giảm thiểu.
Đối với bất kỳ ai bị ảnh hưởng bởi điều này, Carphone Warehouse khuyên khách hàng nên làm gì, bao gồm đảm bảo ngân hàng của bạn giám sát hoạt động và kiểm tra xếp hạng tín dụng của bạn. Ngoài các biện pháp này, bạn cũng nên thay đổi mật khẩu trên các tài khoản cụ thể đó, cũng như bất kỳ tài khoản nào bạn sử dụng cùng một mật khẩu (và tìm hiểu cách tạo một mật khẩu an toàn) và cảnh giác với các cuộc gọi điện thoại cảnh báo về hoạt động gian lận (đặc biệt là bọn tội phạm thường có thể giữ cho đường dây mở, vì vậy bạn gọi lại cho họ thay vì gọi đến ngân hàng của bạn).
Xem qua danh sách kiểm tra những việc cần làm nếu bạn là nạn nhân của gian lận thẻ tín dụng và ghi nhớ những điều ngân hàng sẽ không bao giờ hỏi bạn trực tuyến hoặc qua điện thoại.
Thông báo cũng có thể tốn tiền. Việc cho mọi khách hàng biết về mọi vi phạm sẽ ngốn tài nguyên. Đúng, bỏ qua điều này sẽ tốt hơn cho các công ty, nhưng nó cũng có nghĩa là họ có thể tập trung vào việc đóng các lỗ hổng tiềm ẩn trong bảo mật và điều tra các vi phạm. Các công ty phải được coi là đang làm gì đó đối với các lỗ hổng bảo mật của họ, cố gắng giảm thiệt hại cho danh tiếng của họ. Carphone Warehouse đã xin lỗi và chặn quyền truy cập vào các trang web, nhưng cho đến nay họ không cung cấp tiền cho bất kỳ nạn nhân nào của hoạt động gian lận.
Tốt hơn hay Tồi tệ hơn?
Nó chưa phải là luật. Tôi không nói đó là một tình huống lý tưởng. Tương tự, nó không quá tệ như nó có âm thanh.
Khách hàng hoảng sợ - và đó là một phản ứng dễ hiểu. Bạn có thể đổ lỗi cho các công ty vì muốn giảm bớt nỗi lo đó ... và gây thiệt hại cho danh tiếng và tài chính của nó!
Mặt khác, nếu một doanh nghiệp giữ bí mật những điều này, thì làm sao bạn có thể tin tưởng được? Bạn có cảm thấy an toàn khi cung cấp thông tin cá nhân của bạn cho họ không? Và chúng có đảm bảo sự tự tin của bạn không?