Warum Unternehmen ein Geheimnis verheimlichen, könnte eine gute Sache sein

Mit so vielen Informationen im Internet sorgen wir uns alle über potenzielle Sicherheitsverletzungen. Aber diese Verstöße könnten in den USA geheim gehalten werden, um Sie zu schützen. Es klingt verrückt, also was ist los?

Mit so vielen Informationen im Internet sorgen wir uns alle über potenzielle Sicherheitsverletzungen.  Aber diese Verstöße könnten in den USA geheim gehalten werden, um Sie zu schützen.  Es klingt verrückt, also was ist los?
Werbung

Angesichts der Fülle an Informationen im Internet sorgen wir uns alle um potenzielle Sicherheitsverletzungen. Aber möglicherweise könnten diese Verstöße in den USA geheimgehalten werden.

Es vergeht selten ein Monat, in dem Datenbrüche nicht grummeln. Schau dir einfach die Ashley Madison Leck Hackers Out Ashley Madison Benutzer, sprechen wie Stephen Hawking ... [Tech News Digest] Hackers Out Ashley Madison Benutzer, sprechen wie Stephen Hawking ... [Tech News Digest] Betrüger sind auf dunklem Netz geoutet, Wie man wie Hawking spricht, die USA behalten die Kontrolle über ICANN, investieren in Videospiele durch Fig, beobachten Netflix aus der Ferne und nehmen Selfies mit Zombies. Lesen Sie mehr, in dem Kontodaten von betrogenen Ehepartnern online veröffentlicht wurden. Es ist eine große Sache, und hat ernsthafte Konsequenzen Ashley Madison: Was passiert jetzt wissen wir, dass Sie ein Betrüger sind Ashley Madison: Was passiert jetzt wissen wir, dass Sie ein Betrüger Die Ashley Madison Dating-Website wurde vor kurzem von Hackern gehackt, die drohten, die auslaufen gesamte Datenbank, es sei denn, die Site wurde geschlossen. Diese Woche wurde die Datenbank durchgesickert. Werden Ihre Indiskretionen bekannt werden? Weiterlesen . Benutzer von AdultFriend Finder hatte ähnliche Kopfschmerzen Dating Site Hack: Adult FriendFinder Hack verlässt Benutzer besorgt Dating Site Hack: Adult FriendFinder Hack verlässt Benutzer besorgt Benutzer von Online-Dating-Website Adult FriendFinder - und die verschiedenen alternativen Websites in seinem Netzwerk - wurden mit Bedenken nach verlassen Es stellte sich heraus, dass die Datenbank von fast 4 Millionen Datensätze wurde ... Lesen Sie mehr im Mai. Sogar eBay wurde kompromittiert Die eBay-Daten-Verletzung: Was Sie wissen müssen Die eBay-Daten-Verletzung: Was Sie wissen müssen Lesen Sie mehr letztes Jahr.

Jede Art von Lecks geheim zu halten, klingt verrückt. Aber ist es?

Es wäre natürlich im Interesse der beteiligten Unternehmen, aber auch für die Kunden könnte sich dies positiv auswirken. Nicht wirklich. Es sind nicht alle Rosen, aber es ist vielleicht nicht ganz so schlimm, wie es sich anhört.

Wenn Unternehmen still bleiben

13856199984_4667251db8_z

Vorgeschlagene Rechtsvorschriften könnten es Unternehmen ermöglichen, unter bestimmten Umständen zu schweigen, wenn Hacker auf ihre Systeme zugreifen - aber nur, wenn sie der Meinung sind, dass es "keine vernünftige Chance" gibt, dass ein solcher Verstoß die Kunden ernsthaft beeinträchtigen könnte. In der Regel muss jedes Unternehmen, das Opfer von Hackern geworden ist, der Federal Trade Commission (FTC) Details übermitteln. Es würde die aktuellen Gesetze zur Offenlegung von Gesetzen machen, von denen die meisten Unternehmen dazu bringen, Lecks anzukündigen.

Wenn keine vertraulichen oder potenziell schädlichen Daten gestohlen werden, müssen Unternehmen Sie nicht informieren, wenn sie gehackt werden.

Hacked-Unternehmen müssten bewerten, ob die extrahierten Daten etwas sind, über das sich Kunden Gedanken machen sollten, d. könnte zu Identitätsdiebstahl oder Bankinformationen führen. Normale Verfahren müssten dann folgen. Benachrichtigungen müssten gesendet werden, wenn:

"Eine Sicherheitsverletzung beinhaltet: (1) die persönlichen Informationen von mehr als 10.000 Personen, (2) eine Datenbank mit den persönlichen Informationen von mehr als 1 Million Personen, (3) Datenbanken der Bundesregierung, oder (4) die persönlichen Informationen des Bundes Mitarbeiter oder Auftragnehmer, von denen bekannt ist, dass sie an der nationalen Sicherheit oder der Strafverfolgung beteiligt sind. "

Gerald Ferguson, Anwalt für Datenschutz bei Baker & Hostetler LLP, der Unternehmen berät, wenn es zu undichten Stellen kommt, sagte dem Wall Street Journal:

"[Der Gesetzentwurf] würde zu weniger Meldungen führen ... Es würde Unternehmen erlauben, eine zweite Analyse durchzuführen, ob ein angemessenes Risiko finanzieller Schäden besteht. Wenn Sie beginnen, ein Risiko der Schadensanalyse einzugehen, gibt es eine Menge Diskretion. "

Das Datenschutz- und Verstoßbenachrichtigungsgesetz von 2015 wurde zweimal gelesen und im Januar an den Ausschuss für Handel, Wissenschaft und Verkehr weitergeleitet.

Warum das ist großartig für Unternehmen

Das ist alles was ironischerweise Ashley Madison angeboten Ashley Madison Leak No Big Deal? Think Again Ashley Madison Leak Keine große Sache? Think Again Discreet Online-Dating-Website Ashley Madison (vor allem auf betrügerische Ehepartner gerichtet) wurde gehackt. Dies ist jedoch ein viel ernsthafteres Problem, als in der Presse dargestellt wurde, mit erheblichen Auswirkungen auf die Benutzersicherheit. Lesen Sie mehr: Diskretion.

Reputation ist der Schlüssel. Aus diesem Grund blieb Carphone Warehouse beispielsweise bei ihrem jüngsten Verstoß, der 2, 4 Millionen Menschen in Großbritannien so lange wie möglich betroffen haben könnte, verschämt. Niemand möchte eine Firma benutzen, die sie für angreifbar halten. Oracle hat sich in den Fuß geschossen, indem er Kunden angefleht hat, ihren Code nicht zurückzuentwickeln. Oracle will, dass sie aufhören zu senden. Bugs - Warum ist das verrückt? Oracle möchte, dass man ihnen keine Bugs schickt - warum ist das verrückt Oracle ist in heißem Wasser über einen fehlgeleiteten Blog Beitrag von Sicherheitschef Mary Davidson. Diese Demonstration, wie Oracles Sicherheitsphilosophie vom Mainstream abweicht, wurde in der Sicherheitsbranche nicht gut aufgenommen ... Lesen Sie mehr, um Sicherheitsprobleme zu finden. Es ist genauso, als würde man zugeben, dass man viele Sicherheitsfragen hat oder ein riesiges Schild mit der Aufschrift "Sie können uns Ihre persönlichen Daten nicht anvertrauen!"

Guter Schrei, Oracle.

Reputation bedeutet viel. Es bedeutet Geld. Eine Studie aus dem Jahr 2014 ergab, dass Unternehmen durchschnittlich 145 Dollar für jede durch eine Datenlecks durchgesickerte Aufzeichnung ausgegeben haben, aber als der beliebte Einzelhändler Target ankündigte, dass die Kreditkarten von 40 Millionen Kunden kompromittiert worden sind. Ziel bestätigt bis zu 40 Millionen potentiell gehackte Zielkunden Bestätigt, dass bis zu 40 Millionen US-amerikanische Kreditkarten potenziell gehackt wurden Target hat gerade bestätigt, dass ein Hack die Kreditkartendaten für bis zu 40 Millionen Kunden, die zwischen dem 27. November und dem 15. Dezember 2013 in seinen US-Läden eingekauft haben, beeinträchtigt hat 2013 konnten die Opfer bis zu 10.000 Dollar Schadenersatz fordern (obwohl es insgesamt erheblich weniger war). Das war insgesamt $ 10 Millionen Ziel zahlt sich für Datenbruch aus, PlayStation Vue Herausforderungen Kabel [Tech News Digest] Ziel zahlt sich für Datenbruch aus, PlayStation Vue Herausforderungen Kabel [Tech News Digest] Ziel Ziele Entschädigung, Anzeigen von PlayStation Vue, Stummschaltung Facebook, Chromecast Tennis spielen, mit Netflix God Mode und mit einer Speeder Bike Drohne. Weiterlesen .

Zielstock

Es scheint die Aktien der Target Corporation nicht massiv beschädigt zu haben, obwohl die Preise nach dem Durchbruch gefallen sind. Es hätte vielleicht geholfen, dass sie Informationen offengelegt haben, bevor sie gesetzlich dazu verpflichtet waren.

Trotzdem war es riskant. Douglas Meal, Anwalt bei der Securities and Exchange Commission letzten März, sagte:

"Wenn Sie die Verletzung überhaupt nicht offen legen, haben Sie keine Sammelklagen ... Es ist die Offenlegung der Verletzung, die den Feuersturm der Rechtsstreitigkeiten verursacht ... Unternehmen denken, dass sie das Richtige tun, indem sie offenbaren, aber stattdessen landen als das Problem angesehen werden. "

Warum es für Kunden gut sein könnte ...

Der Spin? Zu viele Benachrichtigungen bedeuten in Panik geratene Kunden mit unnötigen Sorgen. Dies ist zweifellos ein guter Schritt für Unternehmen, die Hackern ausgesetzt sind, aber es könnte auch ein guter Schritt für Sie sein.

Ein großes Problem im Moment mit der Offenlegung in den USA ist das Staatsdivisionsgesetz. Die Einhaltung verschiedener Vorschriften in den einzelnen Staaten verlangsamt den Prozess, Menschen tatsächlich darüber zu informieren, was passiert ist. Anstatt durch separate Reifen zu springen, müssten Unternehmen nur die FTC-Entscheidung einhalten.

Kriterien sind oft bedenklich; Wie bestimmt ein Anwalt, welche Daten Kunden beeinflussen können? Glücklicherweise sind diese im Data Security and Breach Notification Act von 2015 klar dargelegt. Zugegebenermaßen unterstreichen sie die Bedeutung des Schutzes von Daten in Bezug auf die nationale Sicherheit, aber die erste und die zweite Klausel decken größere Lecks ab.

15170656644_9668263db7_z

Benachrichtigungen sollten auch schnell erfolgen: Wenn Ihre persönlichen finanziellen Daten kompromittiert wurden, sollten Sie (zumindest theoretisch) so schnell wie möglich informiert werden. Das wird mehr Zeit bedeuten, etwas dagegen zu tun! Je schneller Sie handeln, desto weniger sollte es sich auf Sie auswirken. Nehmen wir ein britisches Unternehmen als Beispiel dafür, was nicht zu tun ist: Carphone Warehouse hat drei Tage gebraucht, um bekannt zu geben, dass sie Opfer eines "ausgeklügelten Cyberangriffs" waren. Bis zu 90.000 Kreditkarten könnten betroffen sein, obwohl diese Daten verschlüsselt sind. damit ist das Risiko reduziert.

Für alle, die davon betroffen sind, hat Carphone Warehouse Kunden beraten, was zu tun ist. Dazu gehört auch, dass Ihre Bank die Aktivität überwacht und Ihre Kreditwürdigkeit überprüft. Zusätzlich zu diesen Maßnahmen, sollten Sie auch Passwörter für diese spezifischen Konten, sowie alle, die Sie verwenden das gleiche Passwort auf (und lernen, wie Sie ein sicheres Erstellen von Passwörtern, die beide sicher und unvergesslich 7 Wege sind Kennzeichnen Sie Passwörter, die sowohl sicher als auch denkwürdig sind Ein unterschiedliches Passwort für jeden Dienst ist ein Muss in der heutigen Online-Welt, aber es gibt eine schreckliche Schwäche für zufällig erzeugte Passwörter: es ist unmöglich, sich an sie alle zu erinnern. Lesen Sie mehr) und seien Sie vorsichtig bei Telefonanrufen, die vor betrügerischen Aktivitäten warnen (vor allem, da Kriminelle oft die Leitung offen halten können, so dass Sie sie anstelle Ihrer Bank anrufen).

Gehen Sie durch eine Checkliste, was zu tun ist, wenn Sie ein Opfer von Kreditkartenbetrug sind Was zu tun ist, wenn Sie ein Opfer von Online-Kreditkartenbetrug sind Was Sie tun müssen, wenn Sie Opfer von Online-Kreditkartenbetrug Lesen Sie mehr, und Denken Sie daran, was Banken Sie online nie fragen werden Fünf Dinge, die Banken Sie nie fragen werden Online Fünf Dinge, die Banken Sie niemals online fragen werden Haben Sie schon einmal eine E-Mail von Ihrer Bank erhalten, die verdächtige Kontoaktivitäten betreibt? Solche Nachrichten sind fast immer Betrügereien, also hier sind ein paar Dinge, die Ihre Bank niemals online anfragen wird - aber Betrüger werden es tun. Lesen Sie mehr oder über das Telefon.

Benachrichtigungen können auch Geld kosten. Wenn jeder Kunde über jede Verletzung informiert wird, werden Ressourcen aufgebraucht. Ja, dies zu umgehen wäre für Unternehmen besser, aber es bedeutet auch, dass sie sich darauf konzentrieren können, potenzielle Lücken in ihrer Sicherheit zu schließen und Verstöße zu untersuchen. Unternehmen müssen erkannt werden, dass sie etwas gegen ihre Sicherheitslücken unternehmen und versuchen, ihren Ruf zu reduzieren. Carphone Warehouse entschuldigte sich und blockierte den Zugang zu den Seiten, aber bisher bieten sie keinen Opfern betrügerischer Aktivitäten Geld an.

Wohl oder übel?

14363002257_926639362c_z

Es ist noch kein Gesetz. Ich sage nicht, dass es eine ideale Situation ist. Ebenso muss es nicht so schlimm sein wie es klingt.

Kunden geraten in Panik - und das ist eine verständliche Reaktion. Können Sie die Unternehmen dafür verantwortlich machen, dass sie diese Sorge reduzieren wollen ... und ihren Ruf und ihre Finanzen schädigen wollen?

Auf der anderen Seite, wenn ein Unternehmen diese Dinge geheim hält, wie können Sie ihnen jemals vertrauen? Fühlen Sie sich sicher, Ihnen Ihre persönlichen Informationen zu geben? Und rechtfertigen sie Ihr Vertrauen?

Bildnachweis: Finger über die Lippen von Dean Drobot über Shutterstock, Security - Wörterbuch der American Advisors Group; Das Carphone Warehouse von morebyless; und Ziel von Mike Mozart.

In this article