Con la gran cantidad de información en línea, todos nos preocupamos por posibles infracciones de seguridad. Pero potencialmente, estas violaciones podrían mantenerse en secreto en los Estados Unidos.
Es raro que pase un mes sin rumores de violaciones de datos. Solo mire la fuga de Ashley Madison Hackers Out Usuarios de Ashley Madison, Hablen como Stephen Hawking ... [Tech News Digest] Hackers Out Usuarios de Ashley Madison, Hablen como Stephen Hawking ... [Tech News Digest] Se denuncian los tramposos en la web oscura, cómo hablar como Hawking, EE. UU. mantiene el control de la ICANN, invierte en videojuegos a través de Fig, ve Netflix desde lejos y toma selfies con zombies. Lea más, que vio los detalles de la cuenta de los cónyuges infieles en línea. Es un gran problema, y tiene serias consecuencias Ashley Madison: ¿Qué sucede ahora? Sabemos que eres un tramposo Ashley Madison: ¿Qué ocurre ahora? Sabemos que eres un tramposo El sitio de citas de Ashley Madison fue pirateado recientemente por piratas informáticos que amenazaron con filtrar el toda la base de datos a menos que el sitio se cierre. Esta semana, la base de datos se ha filtrado. ¿Están a punto de hacerse públicas sus indiscreciones? Lee mas . Los usuarios de AdultFriend Finder tuvieron dolores de cabeza similares Dating Site Hack: Adult FriendFinder Hack deja a los usuarios preocupados Dating Site Hack: Adult FriendFinder Hack deja a los usuarios preocupados Los usuarios del sitio de citas en línea Adult FriendFinder - y los diversos sitios alternativos en su red - se han quedado con preocupaciones después surgió que la base de datos de casi 4 millones de registros ha sido ... Leer más en mayo. Incluso eBay se vio comprometida El incumplimiento de los datos de eBay: lo que usted necesita saber El incumplimiento de los datos de eBay: lo que usted necesita saber Lea más el año pasado.
Mantener en secreto cualquier tipo de fuga suena loco. ¿Pero es?
Sería en interés de las empresas involucradas, por supuesto, pero también podría haber un efecto positivo para los clientes. No realmente. No todas son rosas, pero tampoco puede ser tan terrible como suena.
Cuando las empresas se quedan en silencio
La legislación propuesta podría permitir a las empresas, en algunas circunstancias, mantener la boca cerrada cuando los piratas informáticos accedan a sus sistemas, pero solo si creen que "no hay posibilidades razonables", tal violación podría afectar seriamente a los clientes. Típicamente, cualquier compañía que sea víctima de hackers debería enviar detalles a la Comisión Federal de Comercio (FTC). Haría que las leyes actuales de divulgación del estado, la mayoría de las cuales empujaron a las compañías a anunciar filtraciones, discutieron.
Básicamente, si no se roba nada sensible o potencialmente dañino, las empresas no necesitan notificarte cuando son pirateadas.
Las empresas pirateadas tendrían que evaluar si los datos extraídos son algo de lo que los clientes deberían preocuparse, es decir. podría ocasionar robo de identidad o información bancaria. Los procedimientos normales tendrían que seguir. Las notificaciones tendrían que enviarse si:
"Una violación de seguridad implica: (1) la información personal de más de 10, 000 personas, (2) una base de datos que contiene la información personal de más de 1 millón de personas, (3) bases de datos del gobierno federal o (4) la información personal del gobierno federal empleados o contratistas conocidos por estar involucrados en la seguridad nacional o la aplicación de la ley ".
Gerald Ferguson, abogado de privacidad de Baker & Hostetler LLP, que asesora a empresas cuando se producen fugas, le dijo al Wall Street Journal:
"[El proyecto de ley] daría lugar a menos notificaciones ... Permitiría a las empresas hacer un segundo análisis sobre si existe un riesgo razonable de daño financiero. Cuando comienzas a hacer un análisis de riesgo de daño, hay mucha discreción ".
La Ley de Notificación de Incumplimiento y Seguridad de Datos de 2015 fue leída dos veces y remitida al Comité de Comercio, Ciencia y Transporte en enero.
Por qué esto es genial para las empresas
Todo se trata de lo que, irónicamente, Ashley Madison ofreció Ashley Madison Leak No Big Deal. Piense de nuevo Ashley Madison Leak No Big Deal? Piensa otra vez El sitio discreto de citas en línea Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más serio que el que se ha presentado en la prensa, con implicaciones considerables para la seguridad del usuario. Leer más: discreción.
La reputación es clave. Es por eso que, por ejemplo, Carphone Warehouse se mantuvo tímido en su reciente incumplimiento, que pudo haber afectado a 2, 4 millones de personas en el Reino Unido, durante el mayor tiempo posible. Nadie quiere usar una compañía que creen que es vulnerable al ataque. Oracle se pegó un tiro en el pie pidiendo a los clientes que no reintegren su código. Oracle quiere que dejes de enviarlos. Aquí está el porqué de lo loco. Oracle quiere que dejes de enviarlos. Aquí está el porqué de lo loco. Oracle está en problemas por un blog equivocado. publicado por la jefa de seguridad, Mary Davidson. Esta demostración de cómo la filosofía de seguridad de Oracle se aparta de la corriente principal no se recibió bien en la comunidad de seguridad ... Lea más para encontrar problemas de seguridad. Es lo mismo que admitir que tiene muchos problemas relacionados con la seguridad, o lanzar una gran pancarta que dice: "¡No puede confiar en nosotros con su información personal!"
Buen grito, Oracle.
La reputación significa mucho. Significa dinero. Un estudio de 2014 reveló que las empresas gastaron un promedio de $ 145 por cada registro filtrado en una violación de datos, pero cuando el minorista popular, Target anunció que se habían comprometido 40 millones de tarjetas de crédito. Target confirma hasta 40 millones de clientes estadounidenses Tarjetas de crédito Potencialmente hackeado el objetivo Confirma hasta 40 millones de clientes estadounidenses Tarjetas de crédito potencialmente pirateadas Target acaba de confirmar que un truco podría haber comprometido la información de la tarjeta de crédito de hasta 40 millones de clientes que compraron en sus tiendas en EE. UU. Entre el 27 de noviembre y el 15 de diciembre de 2013. Leer más 2013, las víctimas podían reclamar hasta $ 10, 000 en daños y perjuicios (aunque era considerablemente menos en general). Eso fue $ 10 millones en total Target paga por incumplimiento de datos, PlayStation Vue Challenges Cable [Tech News Digest] Target paga por incumplimiento de datos, PlayStation Vue Challenges Cable [Tech News Digest] Objetivo objetivos de compensación, visualización de PlayStation Vue, silenciamiento de Facebook, reproducción de Chromecast tenis, usando el modo de dios de Netflix, y volando un dron en bicicleta speeder. Lee mas .
No parece haber dañado masivamente las acciones en Target Corporation, aunque los precios bajaron luego de la violación. En realidad, podría haber sido útil que revelaran información antes de que se les exigiera legalmente.
Sin embargo, era arriesgado. Douglas Meal, abogado de la Comisión de Bolsa y Valores en marzo pasado, dijo:
"[Si] nunca revela la violación en absoluto, entonces no tiene los juicios de demanda colectiva ... Es la divulgación de la infracción lo que crea la tormenta de litigios ... Las empresas creen que están haciendo lo correcto al divulgar, pero en cambio terminan siendo visto como el problema ".
Por qué podría ser bueno para los clientes ...
¿El giro? Demasiadas notificaciones significan pánico en los clientes con preocupaciones innecesarias. Este es, sin duda, un buen paso para las empresas sujetas a piratas informáticos, pero también podría ser una buena jugada para usted.
Un gran problema en este momento con la divulgación en los Estados Unidos son las leyes de división estatal. Cumplir con las diferentes regulaciones en todos los estados ralentiza el proceso de permitir que la gente sepa realmente lo que sucedió. En lugar de saltar por aros separados, las empresas solo tendrían que cumplir con el fallo de la FTC.
Los criterios a menudo son preocupantes; ¿cómo determina un abogado qué datos podrían afectar a los clientes? Afortunadamente, estos están claramente establecidos en el borrador de la Ley de Notificación de Seguridad de Datos e Incumplimiento de 2015. Es cierto que subrayan la importancia de proteger los datos relativos a la seguridad nacional, pero la primera y la segunda cláusulas cubren cualquier fuga importante.
Las notificaciones también deben ser rápidas: si su información financiera personal ha sido comprometida, debe (en teoría, al menos) ser informado lo más pronto posible. ¡Eso significará más tiempo para hacer algo al respecto! Cuanto más rápido actúes, menos te afectará. Usemos un negocio en el Reino Unido como ejemplo de lo que no debemos hacer: Carphone Warehouse tardó tres días en anunciar que habían sido víctimas de un "ciberataque sofisticado". Hasta 90, 000 tarjetas de crédito podrían verse afectadas, aunque esta información está encriptada, entonces el riesgo se reduce
Para cualquier persona afectada por esto, Carphone Warehouse les aconseja a los clientes qué hacer, incluyendo asegurarse de que su banco monitoree la actividad y verificar su calificación crediticia. Además de estas medidas, también debe cambiar las contraseñas de esas cuentas específicas, así como cualquier otra que utilice la misma contraseña (y aprender a crear una forma segura de 7 formas de contraseñas que son seguras y memorables). Convierta contraseñas que son seguras y memorables Tener una contraseña diferente para cada servicio es una necesidad en el mundo en línea de hoy, pero hay una terrible debilidad en las contraseñas generadas al azar: es imposible recordarlas todas. Pero ¿cómo puede recordar ...? Lea más), y desconfíe de las llamadas telefónicas que advierten de actividad fraudulenta (especialmente porque los delincuentes a menudo pueden mantener la línea abierta, por lo que los devuelve en lugar de llamar a su banco).
Revise una lista de verificación de qué hacer si es víctima de un fraude con tarjeta de crédito Qué hacer si es víctima de un fraude con tarjeta de crédito en línea Qué hacer si es víctima de un fraude con tarjeta de crédito en línea Lea más, y tenga en cuenta lo que los bancos nunca le preguntarán en línea Cinco cosas que los bancos nunca le preguntarán en línea Cinco cosas que los bancos nunca le preguntarán en línea ¿Alguna vez recibió un correo electrónico de su banco que indique actividad de cuenta sospechosa? Tales mensajes son casi siempre estafas, por lo que aquí hay algunas cosas que su banco nunca solicitará en línea, pero los estafadores sí lo harán. Lea más o por teléfono.
Las notificaciones también pueden costar dinero. Informar a cada cliente sobre cada incumplimiento consume recursos. Sí, eludir esto sería mejor para las empresas, pero también significa que pueden enfocarse en cerrar agujeros potenciales en su seguridad e investigar violaciones. Se debe ver que las empresas están haciendo algo acerca de sus vulnerabilidades de seguridad, tratando de reducir el daño a sus reputaciones. Carphone Warehouse se disculpó y bloqueó el acceso a los sitios, pero hasta el momento no están ofreciendo dinero a ninguna víctima de actividad fraudulenta.
¿Para bien o para mal?
Aún no es una ley. No digo que sea una situación ideal. Igualmente, no tiene por qué ser tan malo como suena.
Los clientes entran en pánico, y esa es una reacción comprensible. ¿Puedes culpar a las empresas por querer reducir esa preocupación ... y dañar su reputación y finanzas?
Por otro lado, si una empresa mantiene estas cosas en secreto, ¿cómo puedes confiar en ellas? ¿Te sientes seguro dándoles tu información personal? ¿Y merecen tu confianza?
Créditos de las imágenes: dedo sobre los labios por Dean Drobot a través de Shutterstock, Security - Dictionary by American Advisors Group; El Carphone Warehouse por másbyless; y Target por Mike Mozart.