Michael Cain
0 
3752
356
Con la gran cantidad de información en línea, todos nos preocupamos por posibles violaciones de seguridad. Pero potencialmente, estas infracciones podrían mantenerse en secreto en los EE. UU..
Es raro que pase un mes sin rumores de violaciones de datos. Basta con mirar la fuga de Ashley Madison Hackers fuera de los usuarios de Ashley Madison, hablar como Stephen Hawking ... [Resumen de noticias de tecnología] Hackers fuera de los usuarios de Ashley Madison, hablar como Stephen Hawking ... [Resumen de noticias de tecnología] Los tramposos son descubiertos en la web oscura, cómo hablar como Hawking, EE. UU., Mantiene el control de ICANN, invierte en videojuegos a través de Fig, mira Netflix desde lejos y toma selfies con zombies. , que vio los detalles de la cuenta de cónyuges infieles en línea. Es un gran problema y tiene graves consecuencias Ashley Madison: lo que sucede ahora sabemos que eres un tramposo Ashley Madison: lo que sucede ahora sabemos que eres un tramposo El sitio de citas Ashley Madison fue pirateado recientemente por piratas informáticos que amenazaron con filtrar el base de datos completa a menos que el sitio esté cerrado. Esta semana, la base de datos se ha filtrado. ¿Tus indiscreciones están a punto de hacerse públicas? . Los usuarios de AdultFriend Finder tuvieron dolores de cabeza similares. Hack de sitio de citas: Adult FriendFinder Hack deja a los usuarios preocupados Hack de sitio de citas: Adult FriendFinder Hack deja a usuarios preocupados Los usuarios del sitio de citas en línea Adult FriendFinder - y los diversos sitios alternativos en su red - han quedado preocupados después se supo que la base de datos de casi 4 millones de registros fue ... en mayo. Incluso eBay se vio comprometida La violación de datos de eBay: lo que necesita saber La violación de datos de eBay: lo que necesita saber el año pasado.
Mantener cualquier tipo de fuga en secreto suena loco. Pero es?
Por supuesto, sería de interés para las empresas involucradas, pero también podría haber un efecto positivo para los clientes. No realmente. No todas son rosas, pero tampoco puede ser tan terrible como parece.
Cuando las empresas permanecen en silencio
La legislación propuesta podría permitir a las compañías, en algunas circunstancias, permanecer calladas cuando los piratas informáticos acceden a sus sistemas, pero solo si creen que existe “sin posibilidad razonable” Tal incumplimiento podría afectar seriamente a los clientes. Por lo general, cualquier compañía víctima de piratas informáticos necesitaría enviar detalles a la Comisión Federal de Comercio (FTC). Haría las leyes de divulgación estatales actuales, la mayoría de las cuales empujan a las empresas a anunciar filtraciones, discutibles.
Básicamente, si no se roba nada sensible o potencialmente dañino, las empresas no necesitan notificarlo cuando son pirateadas.
Las empresas pirateadas tendrían que evaluar si los datos extraídos son algo por lo que los clientes deberían preocuparse, es decir. podría conducir a robo de identidad o información bancaria. Los procedimientos normales tendrían que seguir. Las notificaciones tendrían que enviarse si:
“una violación de seguridad involucra: (1) la información personal de más de 10,000 individuos, (2) una base de datos que contiene la información personal de más de 1 millón de individuos, (3) bases de datos del gobierno federal o (4) la información personal de empleados federales o contratistas conocidos por estar involucrados en la seguridad nacional o la aplicación de la ley.”
Gerald Ferguson, un abogado de privacidad de Baker & Hostetler LLP que asesora a las empresas cuando ocurren fugas, le dijo al Wall Street Journal:
“[El proyecto de ley] llevaría a menos notificaciones ... Permitiría a las compañías hacer un segundo análisis de si existe un riesgo razonable de daño financiero. Cuando comienzas a hacer un análisis de riesgo de daños, hay mucha discreción.”
La Ley de Seguridad de Datos y Notificación de Infracción de 2015 se leyó dos veces y se remitió al Comité de Comercio, Ciencia y Transporte en enero.
Por qué esto es genial para las empresas
Esto es todo sobre lo que, irónicamente, Ashley Madison le ofreció a Ashley Madison Leak No Big Deal? Piense de nuevo Ashley Madison Fuga ¿No es gran cosa? El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más grave de lo que se ha retratado en la prensa, con considerables implicaciones para la seguridad del usuario. : discreción.
La reputación es la clave. Es por eso que, por ejemplo, Carphone Warehouse se mantuvo tímido en su reciente incumplimiento, que puede haber afectado a 2,4 millones de personas en el Reino Unido, durante el mayor tiempo posible. Nadie quiere usar una compañía que cree que es vulnerable a los ataques. Oracle se disparó en el pie rogándole a los clientes que no hicieran ingeniería inversa de su código. Oracle quiere que dejes de enviarles errores: esta es la razón por la que está loco Oracle quiere que dejes de enviarles errores: aquí está la razón por la que está loco Oracle está en apuros en un blog equivocado publicado por el jefe de seguridad, Mary Davidson. Esta demostración de cómo la filosofía de seguridad de Oracle se aparta de la corriente principal no fue bien recibida en la comunidad de seguridad ... para encontrar problemas de seguridad. Es lo mismo que admitir que tienes muchos problemas relacionados con la seguridad, o arrojando una gran señal de lectura, “No puedes confiarnos tu información personal!”
Buen grito, oráculo.
La reputación significa mucho. Significa dinero. Un estudio de 2014 reveló que las empresas gastaron un promedio de $ 145 por cada registro filtrado en una violación de datos, pero cuando el minorista popular, Target anunció que 40 millones de tarjetas de crédito de los clientes habían sido comprometidas, Target confirma que hasta 40 millones de tarjetas de crédito de clientes de EE. Confirma que hasta 40 millones de clientes de EE. UU. Tarjetas de crédito potencialmente pirateadas Target acaba de confirmar que un pirateo podría haber comprometido la información de la tarjeta de crédito de hasta 40 millones de clientes que compraron en sus tiendas de EE. UU. Entre el 27 de noviembre y el 15 de diciembre de 2013. en 2013, las víctimas podían reclamar hasta $ 10,000 en daños (aunque fue considerablemente menos en general). Eso fue $ 10 millones en total Target Pays for Data Breach, PlayStation Vue Challenges Cable [Tech News Digest] Target Pays for Data Breach, PlayStation Vue Challenges Cable [Tech News Digest] Target target compensa, viendo PlayStation Vue, silenciando Facebook, jugando Chromecast tennis , usando Netflix God Mode y volando un drone de bicicleta speeder. .
No parece tener daños masivos en las acciones de Target Corporation, aunque los precios bajaron luego de la violación. En realidad, podría haber ayudado que revelaran información antes de que legalmente se les exigiera.
Sin embargo, era arriesgado. Douglas Meal, abogado de la Comisión de Bolsa y Valores en marzo pasado, dijo:
“[Si] si nunca revela la violación en absoluto, entonces no tiene las demandas colectivas ... Es la divulgación de la violación lo que crea la tormenta de litigios ... Las compañías piensan que están haciendo lo correcto al revelar, pero en cambio terminan siendo visto como el problema.”
Por qué podría ser bueno para los clientes ...
¿El giro? Demasiadas notificaciones significan aterrorizar a los clientes con preocupaciones innecesarias. Este es, sin duda, un buen movimiento para las empresas sujetas a piratas informáticos, pero también podría ser un buen movimiento para usted..
Un gran problema en este momento con la divulgación en los Estados Unidos son las leyes de división estatal. Cumplir con diferentes regulaciones en todos los estados ralentiza el proceso de informar a las personas sobre lo que sucedió. En lugar de saltar a través de aros separados, las empresas solo tendrían que cumplir con la decisión de la FTC.
Los criterios son a menudo preocupantes; ¿Cómo determina un abogado qué datos podrían afectar a los clientes? Afortunadamente, estos están claramente establecidos en la Ley de Seguridad de Datos y Notificación de Incumplimiento del borrador de 2015. Es cierto que subrayan la importancia de proteger los datos relacionados con la seguridad nacional, pero las cláusulas primera y segunda cubren cualquier fuga importante..
Las notificaciones también deben ser rápidas: si su información financiera personal se ha visto comprometida, debería (en teoría, al menos) recibir una notificación lo antes posible. ¡Eso significará más tiempo para hacer algo al respecto! Cuanto más rápido actúes, menos te afectará. Usemos un negocio del Reino Unido como ejemplo de lo que no se debe hacer: Carphone Warehouse tardó tres días en anunciar que habían sido víctimas de un “ciberataque sofisticado.” Hasta 90,000 tarjetas de crédito podrían verse afectadas, aunque estos datos están encriptados, por lo que se reduce el riesgo.
Para cualquier persona afectada por esto, Carphone Warehouse aconsejó a los clientes qué hacer, incluso asegurarse de que su banco supervise la actividad y verificar su calificación crediticia. Además de estas medidas, también debe cambiar las contraseñas de esas cuentas específicas, así como cualquier otra en la que use la misma contraseña (y aprender a crear una única y segura 7 maneras de inventar contraseñas que sean seguras y memorables 7 formas de Inventar contraseñas que sean seguras y memorables Tener una contraseña diferente para cada servicio es una necesidad en el mundo en línea de hoy en día, pero las contraseñas generadas al azar tienen una debilidad terrible: es imposible recordarlas todas, pero ¿cómo puede recordarlas ...? y desconfíe de las llamadas telefónicas que advierten sobre actividades fraudulentas (especialmente porque los delincuentes a menudo pueden mantener la línea abierta, por lo que debe devolver la llamada en lugar de su banco).
Revise una lista de verificación de qué hacer si es víctima de fraude con tarjetas de crédito Qué hacer si es víctima de un fraude en línea con tarjeta de crédito Qué hacer si es víctima de un fraude con tarjeta de crédito en línea, y manténgase informado importa lo que los bancos nunca te preguntarán en línea Cinco cosas que los bancos nunca te preguntarán en línea Cinco cosas que los bancos nunca te preguntarán en línea ¿Alguna vez recibiste un correo electrónico de tu banco sobre actividades sospechosas en tu cuenta? Dichos mensajes son casi siempre estafas, así que aquí hay algunas cosas que su banco nunca solicitará en línea, pero los estafadores sí lo harán. o por teléfono.
Las notificaciones también pueden costar dinero. Informar a cada cliente sobre cada incumplimiento consume recursos. Sí, evitar esto sería mejor para las empresas, pero también significa que pueden centrarse en cerrar posibles agujeros en su seguridad e investigar las infracciones. Se debe ver que las empresas están haciendo algo con respecto a sus vulnerabilidades de seguridad, tratando de reducir el daño a su reputación. Carphone Warehouse se disculpó y bloqueó el acceso a los sitios, pero hasta ahora no ofrecen dinero a ninguna víctima de actividades fraudulentas..
Para bien o para mal?
Todavía no es ley. No digo que sea una situación ideal. Igualmente, no tiene que ser tan malo como parece.
Los clientes entran en pánico, y esa es una reacción comprensible. ¿Puedes culpar a las empresas por querer reducir esa preocupación ... y dañar su reputación y sus finanzas?!
Por otro lado, si una empresa mantiene estas cosas en secreto, ¿cómo puede confiar en ellas? ¿Te sientes seguro dándoles tu información personal? ¿Y te garantizan tu confianza??
Créditos de imagen: dedo sobre los labios por Dean Drobot a través de Shutterstock, Security - Dictionary by American Advisors Group; The Carphone Warehouse por morebyless; y Target por Mike Mozart.