Pourquoi les entreprises qui gardent un secret à l'abri pourrait être une bonne chose
Avec la richesse des informations en ligne, nous nous inquiétons tous des failles de sécurité potentielles. Mais potentiellement, ces violations pourraient rester secrètes aux États-Unis..
Il est rare qu'un mois se passe sans que des ruptures de données ne se produisent. Il suffit de regarder la fuite d'Ashley Madison Hackers Out Les utilisateurs d'Ashley Madison, parlent comme Stephen Hawking… [Tech News Digest] Les utilisateurs d'Ashley Madison, parlent comme Stephen Hawking… [Tech News Digest] Les tricheurs sont exposés sur le Web sombre, comment parler comme Hawking, les États-Unis gardent le contrôle de l'ICANN, investissent dans les jeux vidéo via Fig, regardent Netflix de loin et réalisent des selfies avec des zombies. Lire la suite, qui a vu les détails de comptes de conjoints trompeurs jetés en ligne. Ashley Madison: Que se passe-t-il maintenant, nous savons que vous êtes un tricheur Ashley Madison: Que se passe-t-il maintenant, nous savons que vous êtes un tricheur Le site de rencontres Ashley Madison a récemment été piraté par des pirates qui ont menacé base de données entière sauf si le site est fermé. Cette semaine, la base de données a été divulguée. Vos indiscrétions sont-elles sur le point de devenir publiques? Lire la suite . Les utilisateurs de AdultFriend Finder avaient des maux de tête similaires. Site de rencontres Hack: Adult FriendFinder Hack laisse des utilisateurs inquiets. Site de rencontres Hack: Adult FriendFinder Hack laisse des utilisateurs inquiets Les utilisateurs du site de rencontres en ligne Adult FriendFinder - et les différents sites alternatifs de son réseau - ont été laissés inquiets après il est apparu que la base de données de près de 4 millions d'enregistrements a été… Lire la suite en mai. Même eBay a été compromis La violation de données eBay: Ce que vous devez savoir La violation de données eBay: Ce que vous devez savoir Lire la suite l'année dernière.
Garder toute sorte de fuite secrète semble fou. Mais est-ce?
Ce serait dans l'intérêt des entreprises concernées, bien sûr, mais cela pourrait également avoir un effet d'entraînement positif sur les clients. Pas vraiment. Ce n'est pas tout, mais ce n'est peut-être pas aussi terrible que ça en a l'air.
Quand les entreprises restent silencieuses
La législation proposée pourrait permettre aux entreprises, dans certaines circonstances, de rester discrètes lorsque les pirates informatiques accèdent à leurs systèmes - mais uniquement si elles croient qu'il existe “aucune chance raisonnable” une telle violation pourrait sérieusement affecter les clients. En règle générale, toute entreprise victime de piratage informatique doit envoyer des informations à la Federal Trade Commission (FTC). Il ferait en sorte que les lois actuelles sur la divulgation d'informations par les États poussent la plupart des entreprises à annoncer des fuites..
Fondamentalement, si rien n'est sensible ou potentiellement dommageable n'est volé, les entreprises n'ont pas besoin de vous avertir lorsqu'elles sont piratées.
Les entreprises piratées auraient besoin d'évaluer si les données extraites étaient ce que les clients devraient se soucier, par exemple. pourrait conduire à un vol d'identité ou à des informations bancaires. Les procédures normales devraient alors suivre. Des notifications devront être envoyées si:
“une atteinte à la sécurité implique: (1) les informations personnelles de plus de 10 000 personnes, (2) une base de données contenant les informations personnelles de plus d'un million de personnes, (3) des bases de données du gouvernement fédéral ou (4) les informations personnelles des employés fédéraux. ou des entrepreneurs connus pour être impliqués dans la sécurité nationale ou l'application de la loi.”
Gerald Ferguson, avocat spécialisé dans la protection de la vie privée chez Baker & Hostetler LLP, qui conseille les entreprises en cas de fuites, a déclaré au Wall Street Journal:
“[Le projet de loi] entraînerait moins de notifications… Il permettrait aux entreprises d'effectuer une deuxième analyse pour déterminer s'il existe un risque raisonnable de préjudice financier. Lorsque vous commencez à faire une analyse de risque de préjudice, il y a beaucoup de discrétion.”
La loi de 2015 sur la sécurité des données et les notifications d'infraction a été lue à deux reprises et renvoyée au Comité du commerce, des sciences et des transports en janvier..
Pourquoi c'est excellent pour les entreprises
Ironiquement, Ashley Madison a proposé à Ashley Madison Leak No Big Deal? Pensez à nouveau Ashley Madison Leak No Big Deal? Think Again Le site de rencontres en ligne discret Ashley Madison (principalement destiné aux conjoints trompeurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, qui a des conséquences considérables pour la sécurité des utilisateurs. Lire la suite: discrétion.
La réputation est la clé. C'est la raison pour laquelle, par exemple, Carphone Warehouse est resté timide lors de la récente infraction, qui aurait pu toucher aussi longtemps que possible 2,4 millions de personnes au Royaume-Uni. Personne ne veut utiliser une entreprise qu’elle pense vulnérable aux attaques. Oracle s'est tiré une balle dans le pied en priant les clients de ne pas désosser leur code. Oracle veut que vous arrêtiez de leur envoyer des bogues - Voici pourquoi c'est fou Oracle veut que vous cessiez de leur envoyer des bogues - Voici pourquoi c'est fou Oracle est en ébullition devant un blog égaré poste de Mary Davidson, responsable de la sécurité. Cette démonstration de la façon dont la philosophie de sécurité d’Oracle s’éloigne de la norme n’a pas été bien accueillie par la communauté de la sécurité… Pour en savoir plus sur les problèmes de sécurité C'est la même chose que d'admettre que vous avez beaucoup de questions concernant la sécurité, ou vomir un énorme signe de lecture, “Vous ne pouvez pas nous faire confiance avec vos informations personnelles!”
Bon cri, Oracle.
La réputation signifie beaucoup. Cela signifie de l'argent. Une étude réalisée en 2014 a révélé que les entreprises avaient dépensé en moyenne 145 dollars par fuite de données, mais lorsque le détaillant populaire, Target a annoncé que les cartes de crédit de 40 millions de clients avaient été compromises. Target confirme jusqu'à 40 millions de cartes de crédit aux États-Unis. Confirme jusqu'à 40 millions de clients américains sur les cartes de crédit Potential Hacked Target vient de confirmer qu'un piratage aurait pu compromettre les informations relatives aux cartes de crédit de 40 millions de clients qui ont effectué des achats dans ses magasins américains entre le 27 novembre et le 15 décembre 2013. Voir Plus dans En 2013, les victimes pouvaient réclamer jusqu'à 10 000 dollars de dommages et intérêts (bien que ce soit considérablement moins dans l'ensemble). C’est 10 millions de dollars au total. Target paye la violation de données, Câble PlayStation Vue Challenges [Tech News Digest]. La cible paie la violation de données, PlayStation Vue. Câble [Tech News Digest] Cible la rémunération, visionnant PlayStation Vue, désactivant Facebook, jouant au tennis Chromecast. , en utilisant Netflix God Mode, et pilotant un drone de speeder bike. Lire la suite .
Il ne semble pas que le stock de la société cible ait été massivement endommagé, bien que les prix aient plongé à la suite de la rupture. Il aurait peut-être été utile qu'ils divulguent des informations avant d'être légalement tenus de.
Néanmoins, c'était risqué. Douglas Meal, avocat à la Securities and Exchange Commission en mars dernier, a déclaré:
“[Si] si vous ne divulguez jamais l'infraction, vous n'avez pas de recours collectifs… C'est la divulgation de l'infraction qui crée la tempête de litiges… Les entreprises pensent qu'elles font la bonne chose en divulguant mais finissent plutôt par être considéré comme le problème.”
Pourquoi cela pourrait être bon pour les clients…
Le spin? Trop de notifications signifient paniquer les clients avec inquiétude inutile. C’est certainement une bonne chose pour les entreprises sujettes aux pirates informatiques, mais cela pourrait aussi être une bonne chose pour vous..
Aux États-Unis, les lois relatives aux divisions d’État sont un problème majeur en matière de divulgation. Le respect de différentes réglementations d'un État à l'autre ralentit le processus consistant à informer les gens de ce qui s'est passé. Au lieu de franchir des étapes distinctes, les entreprises n'auraient qu'à se conformer à la décision de la FTC.
Les critères sont souvent préoccupants. comment un avocat détermine-t-il quelles données pourraient affecter les clients? Heureusement, ceux-ci sont clairement définis dans le projet de loi de 2015 sur la sécurité des données et des violations. Certes, ils soulignent l’importance de la protection des données relatives à la sécurité nationale, mais les première et deuxième clauses couvrent toutes les fuites majeures..
Les notifications doivent également être rapides: si vos informations financières personnelles ont été compromises, vous devriez (au moins en théorie) être informées dès que possible. Cela signifie plus de temps pour faire quelque chose! Plus vite vous agissez, moins cela devrait vous toucher. Prenons une entreprise britannique comme exemple de ce qu’il ne faut pas faire: il a fallu trois jours à Carphone Warehouse pour annoncer qu’il avait été victime d’une catastrophe. “cyber-attaque sophistiquée.” Jusqu'à 90 000 cartes de crédit pourraient être affectées, bien que ces données soient cryptées afin de réduire les risques.
Carphone Warehouse conseillait à ses clients quoi faire, notamment en s'assurant que votre banque surveille l'activité et en vérifiant votre cote de crédit. En plus de ces mesures, vous devez également modifier les mots de passe de ces comptes spécifiques, ainsi que ceux qui utilisent le même mot de passe (et apprendre à créer un mot de passe sécurisé. 7 façons de créer des mots de passe à la fois sûrs et mémorables. 7 façons de Créez des mots de passe à la fois sûrs et mémorables Avoir un mot de passe différent pour chaque service est un impératif dans le monde en ligne actuel, mais les mots de passe générés aléatoirement présentent une faiblesse redoutable: impossible de se souvenir de tous… Lire plus ), et méfiez-vous des appels téléphoniques qui vous avertissent d’une activité frauduleuse (d’autant plus que les criminels peuvent souvent garder la ligne ouverte, vous devez donc les rappeler au lieu de votre banque).
Parcourez une liste de contrôle de ce qu'il faut faire si vous êtes victime de fraude par carte de crédit. Que faire si vous êtes victime de fraude par carte de crédit en ligne? Que faire si vous êtes victime de fraude par carte de crédit en ligne? En savoir plus, et Gardez à l'esprit ce que les banques ne vous demanderont jamais en ligne. Cinq choses que les banques ne vous demanderont jamais en ligne. Cinq choses que les banques ne vous demanderont jamais en ligne. Avez-vous déjà reçu un courrier électronique de votre banque concernant une activité de compte suspecte? De tels messages sont presque toujours des arnaques, alors voici quelques petites choses que votre banque ne demandera jamais en ligne - mais que les fraudeurs feront. Lire la suite ou par téléphone.
Les notifications peuvent aussi coûter cher. Informer chaque client de chaque violation consomme des ressources. Oui, contourner ce problème serait préférable pour les entreprises, mais cela signifie également qu'elles peuvent se concentrer sur la correction des failles potentielles de leur sécurité et sur les enquêtes relatives aux violations. Il faut que les entreprises fassent quelque chose pour remédier à leurs vulnérabilités en matière de sécurité, en essayant de réduire les atteintes à leur réputation. Carphone Warehouse s'est excusé et a bloqué l'accès aux sites, mais jusqu'à présent, ils n'offrent pas d'argent aux victimes d'actes frauduleux..
Pour le meilleur ou pour le pire?
Ce n'est pas encore la loi. Je ne dis pas que c'est une situation idéale. De même, il n'est pas nécessaire que ce soit aussi grave que cela puisse paraître.
Les clients paniquent - et c'est une réaction compréhensible. Pouvez-vous reprocher aux entreprises de vouloir réduire ces inquiétudes… et nuire à leur réputation et à leurs finances?!
D'autre part, si une entreprise garde ces choses secrètes, comment pouvez-vous leur faire confiance? Vous sentez-vous en sécurité en leur donnant vos informations personnelles? Et justifient-ils votre confiance?
Crédits d'image: Dean Drobot, doigt sur les lèvres, via Shutterstock, Sécurité - Dictionnaire du groupe américain de conseillers Le Carphone Warehouse de morebyless; et cible par Mike Mozart.
Explorer plus sur: Piratage, Confidentialité en ligne.