Warum Unternehmen Verstöße gegen ein Geheimnis einhalten, kann eine gute Sache sein
Mit der Fülle an Informationen im Internet sorgen wir uns alle um mögliche Sicherheitsverletzungen. Aber möglicherweise könnten diese Verstöße in den USA geheim gehalten werden.
Es vergeht selten ein Monat, in dem keine Verstöße gegen die Daten verursacht werden. Schauen Sie sich einfach die Ashley Madison-Hacker an Ashley Madison-Benutzer an, sprechen Sie wie Stephen Hawking… [Tech News Digest] Hacker an Ashley Madison-Benutzer, sprechen Sie wie Stephen Hawking… [Tech News Digest] Betrüger sind im dunklen Web unterwegs, wie man sich unterhält Hawking, die USA behalten die Kontrolle über ICANN, investieren über Fig. In Videospiele, sehen Netflix aus der Ferne und nehmen Selfies mit Zombies. Lesen Sie mehr, wo Kontodetails von betrügenden Ehepartnern online abgelegt wurden. Es ist eine große Sache und hat schwerwiegende Konsequenzen. Ashley Madison: Was jetzt passiert, wissen wir, dass Sie ein Betrüger sind Ashley Madison: Was passiert, jetzt wissen wir, dass Sie ein Betrüger sind Die Dating-Seite zu Ashley Madison wurde vor kurzem von Hackern gehackt, die drohten, das auszulöschen gesamte Datenbank, sofern die Site nicht geschlossen wurde. Diese Woche ist die Datenbank durchgesickert. Sind Ihre Indiskretionen dabei, an die Öffentlichkeit zu treten? Weiterlesen . Benutzer von AdultFriend Finder hatten ähnliche Kopfschmerzen Dating-Website Hack: Adult FriendFinder Hack verlässt Benutzer besorgt Dating-Website Hack: Erwachsener FriendFinder Hack verlässt Benutzer besorgt Benutzer der Online-Dating-Website Adult FriendFinder - und die verschiedenen alternativen Websites in ihrem Netzwerk - haben nachher Bedenken Es stellte sich heraus, dass die Datenbank mit fast 4 Millionen Datensätzen im Mai… Lesen Sie mehr. Sogar eBay wurde kompromittiert. Die Datenverletzung von eBay: Was Sie wissen müssen Die Datenverletzung von eBay: Was Sie wissen müssen, lesen Sie im letzten Jahr.
Ein Leck zu halten, hört sich ein Geheimnis an. Aber ist es?
Dies wäre natürlich im Interesse der beteiligten Unternehmen, aber auch für die Kunden könnte es einen positiven Anstoß geben. Nicht wirklich. Es sind nicht alle Rosen, aber es kann auch nicht ganz so schrecklich sein, wie es sich anhört.
Wenn Unternehmen still bleiben
Vorgeschlagene Rechtsvorschriften könnten es den Unternehmen ermöglichen, unter bestimmten Umständen beim Zugang von Hackern auf ihre Systeme die Lippe zu halten - aber nur, wenn sie glauben, dass dies der Fall ist “keine vernünftige chance” Ein solcher Verstoß könnte die Kunden ernsthaft beeinträchtigen. In der Regel müsste jedes Opfer, das Opfer eines Unternehmens ist, Informationen an die Federal Trade Commission (FTC) senden. Es würde die aktuellen staatlichen Offenlegungsgesetze machen, von denen die meisten Unternehmen Lecks ankündigen.
Grundsätzlich müssen Unternehmen Sie nicht benachrichtigen, wenn sie gehackt werden, wenn keine sensiblen oder potenziell schädlichen Elemente gestohlen werden.
Gehackte Unternehmen müssten prüfen, ob die extrahierten Daten den Kunden Sorgen bereiten, d. H. könnte zu Identitätsdiebstahl oder Bankdaten führen. Dann müssten normale Verfahren folgen. Benachrichtigungen müssten gesendet werden, wenn:
“Zu einer Sicherheitsverletzung gehören: (1) die personenbezogenen Daten von mehr als 10.000 Personen, (2) eine Datenbank mit den personenbezogenen Daten von mehr als 1 Million Personen, (3) Datenbanken des Bundes und (4) die personenbezogenen Daten von Mitarbeitern des Bundes oder Auftragnehmer, von denen bekannt ist, dass sie an der nationalen Sicherheit oder der Strafverfolgung beteiligt sind.”
Gerald Ferguson, Anwalt für Datenschutz bei Baker & Hostetler LLP, der Unternehmen im Falle von Lecks berät, erklärte dem Wall Street Journal:
“[Die Gesetzesvorlage] würde zu weniger Benachrichtigungen führen ... Sie würde es den Unternehmen erlauben, eine zweite Analyse durchzuführen, ob ein vernünftiges Risiko eines finanziellen Schadens besteht. Wenn Sie beginnen, eine Risikoanalyse durchzuführen, besteht eine große Diskretion.”
Das Data Security and Breach Notification Act von 2015 wurde zweimal gelesen und im Januar an den Ausschuss für Handel, Wissenschaft und Verkehr verwiesen.
Warum dies für Unternehmen so gut ist
Hier geht es darum, was Ashley Madison ironischerweise Ashley Madison Leak No Big Deal angeboten hat? Denken Sie noch einmal nach Ashley Madison Leak keine große Sache? Denken Sie nochmal an die diskrete Online-Dating-Seite Ashley Madison (die hauptsächlich darauf ausgerichtet ist, Ehepartner zu betrügen) wurde gehackt. Dies ist jedoch ein weitaus ernsteres Problem als in der Presse dargestellt, was erhebliche Auswirkungen auf die Anwendersicherheit hat. Lesen Sie mehr: Diskretion.
Reputation ist der Schlüssel. Aus diesem Grund war Carphone Warehouse zum Beispiel bei seinem jüngsten Verstoß unaufmerksam, von dem möglicherweise 2,4 Millionen Menschen in Großbritannien so lange wie möglich betroffen waren. Niemand möchte ein Unternehmen einsetzen, von dem er glaubt, dass es anfällig für Angriffe ist. Oracle hat sich selbst in den Fuß getreten, indem er die Kunden aufforderte, ihren Code nicht rückgängig zu machen. Oracle möchte, dass sie keine Bugs mehr senden - hier ist der Grund, warum das so verrückt ist Oracle will, dass er keine Bugs mehr sendet - hier ist der verrückte Oracle in heißem Wasser über einem fehlgeleiteten Blog Post von Sicherheitschef Mary Davidson. Diese Demonstration, wie die Sicherheitsphilosophie von Oracle vom Mainstream abweicht, wurde von der Sicherheitsgemeinschaft nicht gut angenommen… Lesen Sie mehr, um Sicherheitsprobleme zu finden. Es ist das Gleiche wie zugeben, dass du hast viele Fragen zur Sicherheit, oder ein riesiges Schild lesen, “Sie können uns Ihre persönlichen Daten nicht anvertrauen!”
Guten Ruf, Oracle.
Ansehen bedeutet viel. Es bedeutet Geld. Eine Studie aus dem Jahr 2014 ergab, dass Unternehmen durchschnittlich 145 US-Dollar für jeden Datensatz ausgeben, der bei einem Datenschutzverstoß durchgesickert wurde. Als der beliebte Einzelhändler Target jedoch bekannt gab, wurden 40 Millionen Kreditkarten von Kunden als gefährdet eingestuft. Target bestätigt bis zu 40 Millionen potenziell gehackte US-Kunden Bestätigt, dass bis zu 40 Millionen US-Kunden Kreditkarten potenziell gehackt wurden Target hat gerade bestätigt, dass ein Hacker die Kreditkarteninformationen für bis zu 40 Millionen Kunden hätte beeinträchtigen können, die zwischen 27. November und 15. Dezember 2013 in ihren US-amerikanischen Geschäften eingekauft haben. Lesen Sie weiter 2013 konnten die Opfer einen Schadensersatzanspruch von bis zu 10.000 USD geltend machen (obwohl es insgesamt wesentlich weniger war). Das waren insgesamt 10 Millionen US-Dollar für Target Pays für Datenpanne, PlayStation Vue Challenges Cable [Tech News Digest] Target Pays für Datenpanne, PlayStation Vue Challenges Cable [Tech News Digest] Zielkompensation, Betrachten von PlayStation Vue, Stummschalten von Facebook, Spielen von Chromecast Tennis Verwenden Sie den Netflix God Mode und fliegen Sie eine Speeder-Bike-Drohne. Weiterlesen .
Die Aktie der Target Corporation scheint nicht massiv geschädigt worden zu sein, obwohl die Preise nach dem Verstoß gefallen waren. Es könnte tatsächlich dazu beigetragen haben, dass sie Informationen offenlegten, bevor sie gesetzlich dazu verpflichtet waren.
Trotzdem war es riskant. Douglas Meal, Anwalt der Securities and Exchange Commission im vergangenen März, sagte:
“[I] Wenn Sie den Verstoß niemals offenlegen, dann haben Sie keine Sammelklagen. Es ist die Offenlegung des Verstoßes, die den Feuersturm von Rechtsstreitigkeiten verursacht. Die Unternehmen glauben, dass sie das Richtige tun, indem sie offen legen, stattdessen zu enden als das Problem angesehen.”
Warum es für Kunden gut sein könnte…
Der Spin? Zu viele Benachrichtigungen bedeuten, dass Kunden mit unnötigen Sorgen in Panik geraten. Dies ist zweifellos ein guter Schritt für Unternehmen, die von Hackern betroffen sind, aber es könnte auch ein guter Schritt für Sie sein.
Derzeit besteht ein großes Problem bei der Offenlegung in den USA in den Gesetzen der Bundesstaaten. Die Einhaltung verschiedener Vorschriften in allen Bundesstaaten verlangsamt den Prozess, wenn die Menschen wissen lassen, was passiert ist. Anstatt durch getrennte Reifen zu springen, müssten die Unternehmen nur die FTC-Entscheidung einhalten.
Kriterien betreffen oft; Wie bestimmt ein Anwalt, welche Daten Kunden beeinflussen können? Glücklicherweise sind diese im Entwurf des Gesetzes über Datensicherheit und Verstöße gegen Verstöße von 2015 klar dargelegt. Zwar unterstreichen sie die Wichtigkeit des Schutzes von Daten, die die nationale Sicherheit betreffen, aber der erste und der zweite Abschnitt betreffen alle größeren Lecks.
Die Benachrichtigungen sollten ebenfalls schnell erfolgen: Wenn Ihre persönlichen Finanzdaten gefährdet sind, sollten Sie (theoretisch zumindest) so schnell wie möglich informiert werden. Das bedeutet mehr Zeit, etwas dagegen zu unternehmen! Je schneller Sie handeln, desto weniger sollte es Sie beeinflussen. Nehmen wir ein britisches Unternehmen als Beispiel dafür, was nicht zu tun ist: Carphone Warehouse brauchte drei Tage, um anzukündigen, dass sie Opfer eines “anspruchsvoller Cyberangriff.” Bis zu 90.000 Kreditkarten könnten betroffen sein, obwohl diese Daten verschlüsselt sind, wodurch das Risiko verringert wird.
Für alle, die davon betroffen sind, hat Carphone Warehouse die Kunden beraten, was zu tun ist, einschließlich der Sicherstellung, dass Ihre Bank die Aktivitäten überwacht, und die Kreditwürdigkeit überprüft. Zusätzlich zu diesen Maßnahmen sollten Sie auch die Kennwörter für diese bestimmten Konten ändern sowie jedes Kennwort, unter dem Sie dasselbe Kennwort verwenden, verwenden (und lernen, wie Sie ein sicheres Kennwort erstellen. 7 Möglichkeiten, Kennwörter zu erstellen, die sowohl sichere als auch denkwürdige 7 Möglichkeiten sind) Machen Sie sowohl sichere als auch einprägsame Kennwörter In der heutigen Online-Welt ist es ein Muss, für jeden Dienst ein anderes Kennwort zu verwenden, aber die zufällig generierten Kennwörter weisen eine furchtbare Schwäche auf: Es ist unmöglich, sich an alle zu erinnern ) und seien Sie vorsichtig bei Anrufen, die vor betrügerischen Aktivitäten warnen (vor allem, da Kriminelle oft die Leitung offen halten können, sodass Sie sie statt Ihrer Bank zurückrufen).
Gehen Sie eine Checkliste durch, was zu tun ist, wenn Sie Opfer von Kreditkartenbetrug sind. Was tun, wenn Sie ein Opfer von Online-Kreditkartenbetrug sind? Was tun, wenn Sie ein Opfer von Online-Kreditkartenbetrug sind? Lesen Sie weiter, und Denken Sie daran, welche Banken Sie niemals online fragen werden. Fünf Dinge, die Banken niemals Online fragen werden. Fünf Dinge, die Banken niemals Online fragen werden. Haben Sie jemals eine E-Mail von Ihrer Bank bezüglich verdächtiger Kontoaktivitäten erhalten? Bei solchen Nachrichten handelt es sich fast immer um Betrügereien, daher werden hier einige Dinge online von Ihrer Bank angefordert - Betrüger dagegen. Lesen Sie mehr oder telefonisch.
Benachrichtigungen können auch Geld kosten. Wenn jeder Kunde über jede Sicherheitsverletzung informiert wird, werden Ressourcen aufgebraucht. Ja, dies zu umgehen wäre für Unternehmen besser, bedeutet aber auch, dass sie sich darauf konzentrieren können, potenzielle Sicherheitslücken zu schließen und Verstöße zu untersuchen. Unternehmen müssen gesehen werden, dass sie etwas gegen ihre Sicherheitslücken unternehmen und versuchen, den Ruf ihres Rufs zu reduzieren. Carphone Warehouse entschuldigte sich und sperrte den Zugang zu den Websites, aber bisher bieten sie keinem Opfer betrügerischer Aktivitäten Geld an.
Wohl oder übel?
Es ist noch kein Gesetz. Ich sage nicht, dass es eine ideale Situation ist. Ebenso muss es nicht so schlimm sein, wie es sich anhört.
Kunden geraten in Panik - und das ist eine verständliche Reaktion. Können Sie den Unternehmen die Schuld geben, dass sie diese Sorgen reduzieren möchten ... und ihren Ruf und ihre Finanzen schädigen!
Auf der anderen Seite, wenn ein Unternehmen diese Dinge geheim hält, wie können Sie ihnen jemals vertrauen? Fühlen Sie sich sicher, wenn Sie ihnen Ihre persönlichen Informationen geben? Und garantieren sie Ihr Vertrauen?
Bildnachweise: Finger über die Lippen von Dean Drobot über Shutterstock, Sicherheit - Wörterbuch der American Advisors Group; Das Carphone Warehouse von morebyless; und Target von Mike Mozart.
Erfahren Sie mehr über: Hacking, Online-Datenschutz.