Seguridad

¿Por qué las empresas que siguen incumpliendo un secreto podrían ser algo bueno?

¿Por qué las empresas que siguen incumpliendo un secreto podrían ser algo bueno? / Seguridad

Con la gran cantidad de información en línea, todos nos preocupamos por posibles violaciones de seguridad. Pero potencialmente, estas violaciones podrían mantenerse en secreto en los Estados Unidos..

Es raro que pase un mes sin rumores de violaciones de datos. Solo mire la filtración de Ashley Madison Hackers Out Usuarios de Ashley Madison, hable como Stephen Hawking ... [Tech News Digest] Hackers Out Ashley Hackers fuera de los usuarios, hable como Stephen Hawking ... [Tech News Digest] Los tramposos son engañados en la web oscura, cómo hablar como Hawking, EE. UU. Mantiene el control de la ICANN, invierte en videojuegos a través de Fig, mira Netflix desde lejos y toma selfies con zombies. Leer más, que vio los detalles de la cuenta de los cónyuges engañosos descargados en línea. Ashley Madison: lo que pasa ahora sabemos que eres un tramposo Ashley Madison: lo que sucede ahora sabemos que eres un tramposo El sitio de citas de Ashley Madison fue hackeado recientemente por hackers que amenazaron con filtrar el Toda la base de datos a menos que el sitio se cierre. Esta semana, la base de datos se ha filtrado. ¿Están tus indiscreciones a punto de hacerse públicas? Lee mas . Los usuarios de AdultFriend Finder tuvieron dolores de cabeza similares Sitio de citas Hack: Adult FriendFinder Hack deja a los usuarios Preocupado sitio de citas Hack: Adult FriendFinder Hack deja a los usuarios preocupados del sitio de citas en línea Adult FriendFinder - y los diversos sitios alternativos en su red - han dejado de preocuparse después resultó que la base de datos de casi 4 millones de registros ha sido ... Leer más en mayo. Incluso eBay se vio comprometida La violación de datos de eBay: lo que necesita saber La violación de datos de eBay: lo que necesita saber Lea más el año pasado.

Mantener cualquier fuga en secreto suena loco. Pero es?

Por supuesto, sería beneficioso para las empresas involucradas, pero también podría haber un efecto de golpe positivo para los clientes. No realmente. No son todas las rosas, pero tampoco puede ser tan terrible como suena.

Cuando las empresas permanecen en silencio

La legislación propuesta podría permitir a las empresas, en algunas circunstancias, permanecer en silencio cuando los hackers acceden a sus sistemas, pero solo si creen que existe. “sin posibilidad razonable” tal incumplimiento podría afectar seriamente a los clientes. Normalmente, cualquier empresa víctima de piratas informáticos tendría que enviar detalles a la Comisión Federal de Comercio (FTC). Haría que las leyes estatales de divulgación actuales, la mayoría de las cuales empujen a las compañías a anunciar fugas, discutan.

Básicamente, si no se roba nada sensible o potencialmente dañino, las empresas no necesitan notificarlo cuando son pirateados.

Las empresas pirateadas necesitarían evaluar si los datos extraídos son algo de lo que los clientes deberían preocuparse, es decir. Podría dar lugar a robo de identidad o información bancaria. Los procedimientos normales tendrían que seguir. Las notificaciones tendrían que ser enviadas si:

“una violación de seguridad implica: (1) la información personal de más de 10,000 personas, (2) una base de datos que contiene la información personal de más de 1 millón de personas, (3) bases de datos del gobierno federal, o (4) la información personal de empleados federales o contratistas que se sabe están involucrados en la seguridad nacional o la aplicación de la ley.”

Gerald Ferguson, un abogado de privacidad en Baker & Hostetler LLP que asesora a las compañías cuando ocurren fugas, dijo al Wall Street Journal:

“[El proyecto de ley] llevaría a menos notificaciones ... Permitiría a las empresas hacer un segundo análisis de si existe un riesgo razonable de daño financiero. Cuando estás empezando a hacer un análisis de riesgo de daño, hay mucha discreción..”

La Ley de Notificación de Infracción y Seguridad de Datos de 2015 se leyó dos veces y se remitió al Comité de Comercio, Ciencia y Transporte en enero.

Por qué esto es genial para las empresas

Todo esto es sobre lo que, irónicamente, Ashley Madison le ofreció a Ashley Madison. Piense otra vez Ashley Madison fuga No es gran cosa? Think Again El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido hackeado. Sin embargo, este es un problema mucho más serio que el que se ha descrito en la prensa, con implicaciones considerables para la seguridad del usuario. Leer más: discreción.

La reputación es clave. Es por eso que, por ejemplo, Carphone Warehouse se mantuvo tímido ante su reciente violación, que puede haber afectado a 2.4 millones de personas en el Reino Unido, durante el mayor tiempo posible. Nadie quiere usar una compañía que crea que es vulnerable a los ataques. Oracle se disparó a sí mismo pidiéndole a los clientes que no hicieran ingeniería inversa en su código. Oracle quiere que dejes de enviarlos. Aquí está la razón por la que está loco. Oracle quiere que dejes de enviarlos por error. Esta es la razón por la que está loca. Mensaje de la jefa de seguridad, Mary Davidson. Esta demostración de cómo la filosofía de seguridad de Oracle se aleja de la corriente principal no se recibió bien en la comunidad de seguridad ... Lea más para encontrar problemas de seguridad. Es lo mismo que admitir que tienes muchas cuestiones relativas a la seguridad, o vomitando un enorme letrero de lectura, “No puedes confiarnos tu información personal!”

Buen grito oráculo.

Reputación significa mucho. Significa dinero. Un estudio de 2014 reveló que las empresas gastaron un promedio de $ 145 por cada registro filtrado en una brecha de datos, pero cuando era un minorista popular, Target anunció que 40 millones de tarjetas de crédito de los clientes habían sido comprometidas. Target confirma hasta 40 millones de clientes en Estados Unidos. Confirma hasta 40 millones de tarjetas de crédito de clientes de EE. UU. Potencialmente pirateadas Target acaba de confirmar que un pirateo podría haber comprometido la información de la tarjeta de crédito de hasta 40 millones de clientes que han comprado en sus tiendas de EE. UU. Entre el 27 de noviembre y el 15 de diciembre de 2013. Lea más en En 2013, las víctimas podrían reclamar hasta $ 10,000 en daños (aunque fue considerablemente menos en general). Eso fue un total de $ 10 millones de Target Pays por incumplimiento de datos, PlayStation Vue Challenges Cable [Tech News Digest] Target Pays por incumplimiento de datos, PlayStation Vue Challenges Cable [Tech News Digest] objetivos de compensación, ver PlayStation Vue, silenciar Facebook, jugar Chromecast tennis , usando el modo de Dios de Netflix, y volando un drone de speeder bike. Lee mas .

No parece haber dañado masivamente las acciones en la Corporación Target, aunque los precios bajaron luego de la ruptura. En realidad podría haber ayudado que divulgaran información antes de que se les exigiera legalmente.

Sin embargo, era arriesgado. Douglas Meal, abogado de la Comisión de Bolsa y Valores en marzo pasado, dijo:

“[Si] nunca revela la brecha, entonces no tiene las demandas colectivas ... Es la revelación de la brecha lo que crea la tormenta de fuego del litigio ... Las compañías piensan que están haciendo lo correcto al revelar, pero en vez de eso terminan siendo visto como el problema.”

Por qué podría ser bueno para los clientes ...

¿El giro? Demasiadas notificaciones significan pánico para los clientes con preocupaciones innecesarias. Sin duda, este es un buen movimiento para las empresas sujetas a piratas informáticos, pero también puede ser un buen movimiento para usted..

Un gran problema ahora con divulgación en los Estados Unidos son las leyes de división del estado. El cumplimiento de diferentes regulaciones en todos los estados ralentiza el proceso de permitir que las personas sepan lo que sucedió. En lugar de saltar a través de aros separados, las empresas solo tendrían que cumplir con la decisión de la FTC.

Los criterios son a menudo preocupantes; ¿Cómo determina un abogado qué datos podrían afectar a los clientes? Afortunadamente, estos están claramente establecidos en el borrador de la Ley de seguridad de datos y notificación de incumplimiento de 2015. Es cierto que subrayan la importancia de proteger los datos relacionados con la seguridad nacional, pero la primera y la segunda cláusulas cubren cualquier fuga importante.

Las notificaciones también deben ser rápidas: si su información financiera personal ha sido comprometida, debería (en teoría, al menos) ser informado tan pronto como sea posible. ¡Eso significará más tiempo para hacer algo al respecto! Cuanto más rápido actúes, menos debería impactarte. Usemos un negocio del Reino Unido como ejemplo de lo que no debemos hacer: Carphone Warehouse tardó tres días en anunciar que había sido víctima de un “sofisticado ciberataque.” Se podrían afectar hasta 90,000 tarjetas de crédito, aunque estos datos están cifrados, por lo que se reduce el riesgo.

Para cualquier persona afectada por esto, Carphone Warehouse aconsejó a los clientes qué hacer, lo que incluye asegurarse de que su banco supervise la actividad y verificar su calificación crediticia. Además de estas medidas, también debe cambiar las contraseñas en esas cuentas específicas, así como también cualquier otra con la que use la misma contraseña (y aprender a crear una segura). 7 maneras de inventar contraseñas que sean seguras y memorables. Invente contraseñas que sean seguras y memorables Tener una contraseña diferente para cada servicio es una necesidad en el mundo en línea de hoy, pero hay una terrible debilidad en las contraseñas generadas al azar: es imposible recordarlas todas. Pero, ¿cómo puede usted recordar ... Leer más ), y desconfíe de las llamadas telefónicas de advertencia de actividad fraudulenta (especialmente porque los delincuentes a menudo pueden mantener la línea abierta, por lo que puede llamarlos en lugar de a su banco).

Lea una lista de verificación de qué hacer si es víctima de un fraude con tarjeta de crédito Qué hacer si es una víctima del fraude en línea de tarjetas de crédito Qué hacer si es víctima de un fraude en línea de tarjetas de crédito Leer más y Tenga en cuenta lo que los bancos nunca le pedirán en línea Cinco cosas que los bancos nunca le pedirán en línea Cinco cosas que los bancos nunca le preguntarán en línea ¿Alguna vez recibió un correo electrónico de su banco relacionado con una actividad de cuenta sospechosa? Tales mensajes casi siempre son estafas, por lo que aquí hay algunas cosas que su banco nunca solicitará en línea, pero sí los estafadores. Leer más o por teléfono.

Las notificaciones también pueden costar dinero. Dejar que cada cliente sepa sobre cada brecha se come los recursos. Sí, omitir esto sería mejor para las empresas, pero también significa que pueden centrarse en cerrar los posibles agujeros en su seguridad e investigar violaciones. Hay que ver a las empresas para hacer algo con respecto a sus vulnerabilidades de seguridad, tratando de reducir el daño a su reputación. Carphone Warehouse se disculpó y bloqueó el acceso a los sitios, pero hasta ahora no están ofreciendo dinero a ninguna víctima de actividad fraudulenta.

Para bien o para mal?

Aún no es ley. No estoy diciendo que sea una situación ideal. Igualmente, no tiene que ser tan malo como suena.

Los clientes se asustan, y esa es una reacción comprensible. ¿Puede culpar a las empresas por querer reducir esa preocupación ... y el daño a su reputación y finanzas?!

Por otro lado, si un negocio mantiene estas cosas en secreto, ¿cómo puedes confiar en ellas? ¿Te sientes seguro dándoles tu información personal? ¿Y te garantizan tu confianza??

Créditos de la imagen: dedo sobre los labios por Dean Drobot a través de Shutterstock, Security - Dictionary por American Advisors Group; El Carphone Warehouse por morebyless; y Target por Mike Mozart.

Explorar más sobre: ​​Hacking, Privacidad en línea.