Pourquoi les entreprises qui enfreignent le secret pourraient être une bonne chose

  • Brian Curtis
  • 0
  • 1755
  • 40
Publicité

Avec la richesse des informations en ligne, nous nous inquiétons tous des failles de sécurité potentielles. Mais potentiellement, ces violations pourraient rester secrètes aux États-Unis..

Il est rare qu'un mois se passe sans rumeurs de violations de données. Il suffit de regarder la fuite d'Ashley Madison Les utilisateurs d'Ashley Madison, parlent comme Stephen Hawking… [Tech News Digest] Les utilisateurs d'Ashley Madison, parlent comme Stephen Hawking… [Tech News Digest] Hawking, les États-Unis gardent le contrôle de l'ICANN, investissent dans les jeux vidéo via Fig, regardent Netflix de loin et réalisent des selfies avec des zombies. , qui a vu les détails de compte des conjoints tricheurs jetés en ligne. Ashley Madison: Ce qui se passe maintenant, nous savons que vous êtes un tricheur Ashley Madison: Ce qui se passe maintenant, nous savons que vous êtes un tricheur Le site de rencontres Ashley Madison a récemment été piraté par des pirates informatiques qui menaçaient de fuir base de données entière sauf si le site est fermé. Cette semaine, la base de données a été divulguée. Vos indiscrétions sont-elles sur le point de devenir publiques? . Les utilisateurs de AdultFriend Finder avaient des maux de tête similaires. Site de rencontres Hack: Adult FriendFinder Hack laisse des utilisateurs inquiets. Site de rencontres Hack: Adult FriendFinder Hack laisse des utilisateurs inquiets. il est apparu que la base de données de près de 4 millions d'enregistrements a été… en mai. Même eBay a été compromis La violation de données eBay: Ce que vous devez savoir La violation de données eBay: Ce que vous devez savoir l'année dernière.

Garder toute sorte de fuite secrète semble fou. Mais est-ce?

Ce serait dans l'intérêt des entreprises concernées, bien sûr, mais cela pourrait également avoir un effet d'entraînement positif sur les clients. Pas vraiment. Ce n'est pas tout, mais ce n'est peut-être pas aussi terrible que ça en a l'air.

Quand les entreprises restent silencieuses

La législation proposée pourrait permettre aux entreprises, dans certaines circonstances, de rester discrètes lorsque les pirates informatiques accèdent à leurs systèmes - mais uniquement si elles croient qu'il existe “aucune chance raisonnable” une telle violation pourrait sérieusement affecter les clients. En règle générale, toute entreprise victime de piratage informatique doit envoyer des informations à la Federal Trade Commission (FTC). Il ferait en sorte que les lois actuelles sur la divulgation d'informations par les États poussent la plupart des entreprises à annoncer des fuites..

Fondamentalement, si rien n'est sensible ou potentiellement dommageable n'est volé, les entreprises n'ont pas besoin de vous avertir lorsqu'elles sont piratées.

Les entreprises piratées auraient besoin d'évaluer si les données extraites étaient ce que les clients devraient se soucier, par exemple. pourrait conduire à un vol d'identité ou à des informations bancaires. Les procédures normales devraient alors suivre. Des notifications devront être envoyées si:

“une atteinte à la sécurité implique: (1) les informations personnelles de plus de 10 000 individus, (2) une base de données contenant les informations personnelles de plus d'un million d'individus, (3) des bases de données du gouvernement fédéral ou (4) les informations personnelles des employés fédéraux. ou des entrepreneurs connus pour être impliqués dans la sécurité nationale ou l'application de la loi.”

Gerald Ferguson, avocat spécialisé dans la protection de la vie privée chez Baker & Hostetler LLP, qui informe les entreprises en cas de fuites, a déclaré au Wall Street Journal:

“[Le projet de loi] entraînerait moins de notifications… Il permettrait aux entreprises d'effectuer une deuxième analyse pour déterminer s'il existe un risque raisonnable de préjudice financier. Lorsque vous commencez à faire une analyse de risque de préjudice, il y a beaucoup de discrétion.”

La loi de 2015 sur la sécurité des données et les notifications d'infraction a été lue deux fois et renvoyée au Comité du commerce, des sciences et des transports en janvier..

Pourquoi c'est excellent pour les entreprises

Ironiquement, Ashley Madison a proposé à Ashley Madison Leak No Big Deal? Pensez à nouveau Ashley Madison Leak No Big Deal? Think Again Le site de rencontres en ligne discret Ashley Madison (principalement destiné aux conjoints trompeurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, qui a des conséquences considérables pour la sécurité des utilisateurs. : discrétion.

La réputation est la clé. C’est pourquoi, par exemple, Carphone Warehouse a fait preuve de retenue à cause de leur récente violation, qui aurait pu toucher aussi longtemps que possible 2,4 millions de personnes au Royaume-Uni. Personne ne veut utiliser une entreprise qu’elle pense vulnérable aux attaques. Oracle s'est tiré une balle dans le pied en priant les clients de ne pas désosser leur code. Oracle veut que vous arrêtiez de leur envoyer des bogues - Voici pourquoi c'est fou Oracle veut que vous cessiez de les envoyer - voici pourquoi c'est fou Oracle est en ébullition devant un blog égaré poste de Mary Davidson, responsable de la sécurité. Cette démonstration de la façon dont la philosophie de sécurité d’Oracle s’éloigne de la norme n’a pas été bien accueillie par la communauté de la sécurité… pour trouver des problèmes de sécurité. C'est la même chose que d'admettre que vous avez beaucoup de questions concernant la sécurité, ou vomir un énorme signe de lecture, “Vous ne pouvez pas nous faire confiance avec vos informations personnelles!”

Bon cri, Oracle.

La réputation signifie beaucoup. Cela signifie de l'argent. Une étude réalisée en 2014 a révélé que les entreprises avaient dépensé en moyenne 145 dollars par fuite de données, mais quand un détaillant populaire, Target a annoncé que les cartes de crédit de 40 millions de clients avaient été compromises. Target confirme jusqu'à 40 millions de cartes de crédit américaines, potentiellement piratées Confirme jusqu'à 40 millions de clients américains sur les cartes de crédit Potential Hacked Target vient de confirmer qu'un piratage aurait pu compromettre les informations relatives aux cartes de crédit de 40 millions de clients qui ont effectué des achats dans ses magasins américains entre le 27 novembre et le 15 décembre 2013. En 2013, les victimes pouvaient réclamer jusqu'à 10 000 dollars de dommages et intérêts (bien que ce soit considérablement moins dans l'ensemble). C’est 10 millions de dollars au total. Target paye la violation de données, Câble PlayStation Vue Challenges [Tech News Digest]. La cible paie la violation de données, PlayStation Vue. Câble [Tech News Digest] Cible la rémunération, visionnant PlayStation Vue, désactivant Facebook, jouant au tennis Chromecast. , en utilisant Netflix God Mode, et pilotant un drone de speeder. .

Il ne semble pas que le stock de la société cible ait été massivement endommagé, bien que les prix aient plongé à la suite de la violation. Il aurait peut-être été utile qu'ils divulguent des informations avant d'être légalement tenus de.

Néanmoins, c'était risqué. Douglas Meal, avocat à la Securities and Exchange Commission en mars dernier, a déclaré:

“[Si] si vous ne divulguez jamais la violation, vous n'avez pas de recours collectifs… C'est la divulgation de la violation qui crée la tempête de litiges… Les entreprises pensent qu'elles font la bonne chose en divulguant, mais finissent plutôt par devenir considéré comme le problème.”

Pourquoi cela pourrait être bon pour les clients…

Le spin? Trop de notifications signifient paniquer les clients avec inquiétude inutile. C’est certainement une bonne chose pour les entreprises sujettes aux pirates informatiques, mais cela pourrait aussi être une bonne chose pour vous..

Aux États-Unis, les lois relatives aux divisions d’État constituent un problème majeur en matière de divulgation. Le respect de différentes réglementations d'un État à l'autre ralentit le processus consistant à informer les gens de ce qui s'est passé. Au lieu de franchir des étapes distinctes, les entreprises n'auraient qu'à se conformer à la décision de la FTC.

Les critères sont souvent préoccupants; comment un avocat détermine-t-il quelles données pourraient affecter les clients? Heureusement, ces éléments sont clairement définis dans le projet de loi de 2015 sur la sécurité des données et des violations. Certes, ils soulignent l’importance de la protection des données relatives à la sécurité nationale, mais les première et deuxième clauses couvrent toutes les fuites majeures..

Les notifications doivent également être rapides: si vos informations financières personnelles ont été compromises, vous devriez (au moins en théorie) être informées dès que possible. Cela signifie plus de temps pour faire quelque chose! Plus vite vous agissez, moins cela devrait vous toucher. Prenons une entreprise britannique comme exemple de ce qu’il ne faut pas faire: il a fallu trois jours à Carphone Warehouse pour annoncer qu’il avait été victime d’une catastrophe. “cyber-attaque sophistiquée.” Jusqu'à 90 000 cartes de crédit pourraient être affectées, bien que ces données soient cryptées afin de réduire les risques.

Carphone Warehouse conseillait à ses clients quoi faire, notamment en s'assurant que votre banque surveille l'activité et en vérifiant votre cote de crédit. En plus de ces mesures, vous devez également modifier les mots de passe de ces comptes spécifiques, ainsi que ceux qui utilisent le même mot de passe (et apprendre à créer un mot de passe sécurisé. 7 façons de créer des mots de passe à la fois sûrs et mémorables. 7 façons de Créez des mots de passe à la fois sûrs et mémorables Avoir un mot de passe différent pour chaque service est indispensable dans le monde en ligne actuel, mais les mots de passe générés de manière aléatoire présentent une faiblesse redoutable: impossible de se souvenir de tous. Mais comment pouvez-vous vous en souvenir…), et méfiez-vous des appels téléphoniques qui vous avertissent d'une activité frauduleuse (d'autant plus que les criminels peuvent souvent garder la ligne ouverte, vous devez donc les rappeler au lieu de votre banque).

Consultez une liste de vérification de ce qu'il faut faire si vous êtes victime de fraude par carte de crédit. Que faire si vous êtes victime de fraude par carte de crédit en ligne? Que faire si vous êtes victime de fraude par carte de crédit en ligne? l'esprit ce que les banques ne vous demanderont jamais en ligne Cinq choses que les banques ne vous demanderont jamais en ligne Cinq choses que les banques ne vous demanderont jamais en ligne Avez-vous déjà reçu un courrier électronique de votre banque concernant une activité de compte suspecte? Ces messages sont presque toujours des escroqueries, alors voici quelques petites choses que votre banque ne demandera jamais en ligne, mais que les fraudeurs feront de même. ou par téléphone.

Les notifications peuvent aussi coûter cher. Informer chaque client de chaque violation consomme des ressources. Certes, le contourner serait mieux pour les entreprises, mais cela signifie également qu'elles peuvent se concentrer sur la correction des failles potentielles de leur sécurité et enquêter sur les violations. Il faut voir les entreprises en train de remédier à leurs vulnérabilités en matière de sécurité, en essayant de réduire les atteintes à leur réputation. Carphone Warehouse s'est excusé et a bloqué l'accès aux sites, mais jusqu'à présent, ils n'offrent pas d'argent aux victimes d'actes frauduleux..

Pour le meilleur ou pour le pire?

Ce n'est pas encore la loi. Je ne dis pas que c'est une situation idéale. De même, il n'est pas nécessaire que ce soit aussi grave que cela puisse paraître.

Les clients paniquent - et c'est une réaction compréhensible. Pouvez-vous reprocher aux entreprises de vouloir réduire ces inquiétudes… et nuire à leur réputation et à leurs finances!

D'autre part, si une entreprise garde ces choses secrètes, comment pouvez-vous leur faire confiance? Vous sentez-vous en sécurité en leur donnant vos informations personnelles? Et justifient-ils votre confiance?

Crédits d'image: Dean Drobot, doigt sur les lèvres, via Shutterstock, Sécurité - Dictionnaire de l'American Advisors Group; Le Carphone Warehouse de morebyless; et cible par Mike Mozart.




Personne n'a encore commenté ce post.

De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.