온라인에 있는 풍부한 정보로 인해 우리 모두는 잠재적인 보안 침해에 대해 걱정하고 있습니다. 그러나 잠재적으로 이러한 침해는 미국에서 비밀로 유지될 수 있습니다.
데이터 유출 사고 없이 한 달이 지나가는 경우는 드뭅니다. 부정 행위 배우자의 계정 세부 정보가 온라인에 덤프 된 Ashley Madison 누출을보십시오. 그것은 큰 일이며 심각한 결과를 초래합니다. AdultFriend Finder 사용자들은 5월에도 비슷한 고민을 했습니다. eBay도 작년에 해킹당했습니다.
모든 종류의 누출을 비밀로 유지하는 것은 미친 소리처럼 들립니다. 하지만 그렇습니까?
물론 관련된 회사의 이익을 위한 것이지만 고객에게도 긍정적인 영향을 미칠 수 있습니다. 아니, 정말. 장미가 전부는 아니지만 그렇게 끔찍하지는 않을 수도 있습니다.
기업이 침묵을 지킬 때
제안된 법안은 해커가 시스템에 액세스할 때 기업이 어떤 상황에서는 입을 다물 수 있도록 허용할 수 있지만 그러한 위반이 고객에게 심각한 영향을 미칠 수 있는 "합리적인 기회가 없다"고 믿는 경우에만 가능합니다. 일반적으로 해커의 피해를 입은 회사는 FTC(연방 통상 위원회)에 세부 정보를 보내야 합니다. 대부분의 기업이 누출을 발표하도록 강요하는 현행 주 공개법을 무효화할 것입니다.
기본적으로 민감하거나 잠재적으로 피해를 줄 수 있는 물건을 도난당한 경우 기업은 해킹을 당했을 때 알려줄 필요가 없습니다.
해킹된 기업은 추출된 데이터가 고객이 걱정해야 할 사항인지 평가해야 합니다. 신원 도용이나 은행 정보로 이어질 수 있습니다. 그러면 정상적인 절차를 따라야 합니다. 다음과 같은 경우 알림을 보내야 합니다.
<블록 인용>"보안 침해에는 (1) 10,000명 이상의 개인 정보, (2) 100만 명 이상의 개인 정보가 포함된 데이터베이스, (3) 연방 정부 데이터베이스 또는 (4) 연방 정부의 개인 정보가 포함됩니다. 국가 안보 또는 법 집행에 관여하는 것으로 알려진 직원 또는 계약자."
Baker &Hostetler LLP의 개인정보 보호 변호사인 Gerald Ferguson은 유출이 발생했을 때 회사에 조언을 제공한다고 월스트리트 저널에 말했습니다.
<블록 인용>"[법안]은 더 적은 통지로 이어질 것입니다... 그것은 회사가 재정적 피해의 합당한 위험이 있는지 여부에 대한 두 번째 분석을 수행할 수 있도록 합니다. 위험 분석을 시작할 때 많은 재량권이 있습니다. ."
2015년 데이터 보안 및 침해 통지법(Data Security and Breach Notification Act of 2015)은 두 번 낭독되었으며 1월에 상무, 과학 및 교통 위원회에 회부되었습니다.
이것이 기업에 적합한 이유
아이러니하게도 Ashley Madison이 제안한 것은 바로 재량입니다.
평판이 핵심입니다. 그렇기 때문에 예를 들어 Carphone Warehouse는 영국에서 240만 명의 사람들에게 가능한 한 오랫동안 영향을 미쳤을 수 있는 최근의 침해에 대해 소극적인 태도를 유지했습니다. 누구도 공격에 취약하다고 생각하는 회사를 이용하고 싶어하지 않습니다. 오라클은 보안 문제를 찾기 위해 코드를 리버스 엔지니어링하지 말라고 고객에게 간청했습니다. 보안과 관련된 문제가 많다는 사실을 인정하는 것과 같습니다. , 또는 "당신은 당신의 개인 정보로 우리를 신뢰할 수 없습니다!"라는 거대한 간판을 던졌습니다.
좋은 소리, 오라클.
명성은 많은 것을 의미합니다. 그것은 돈을 의미합니다. 2014년 연구에 따르면 기업은 데이터 유출로 유출된 각 기록에 대해 평균 145달러를 지출했지만 인기 있는 소매업체인 Target은 2013년에 4천만 고객의 신용 카드가 손상되었다고 발표했을 때 피해자는 최대 10,000달러의 손해 배상을 청구할 수 있었습니다. 전체적으로 훨씬 적었습니다.) 총 1000만 달러였습니다.
Target Corporation의 주식에 막대한 피해를 입힌 것 같지는 않지만 유출 이후 가격이 하락했습니다. 법적으로 요구되기 전에 정보를 공개했다면 실제로 도움이 되었을 것입니다.
그럼에도 불구하고 그것은 위험했습니다. 지난 3월 증권 거래 위원회의 변호사인 Douglas Meal은 다음과 같이 말했습니다.
<블록 인용>"[나는] 침해를 전혀 공개하지 않으면 집단 소송이 없습니다. 소송의 폭풍을 일으키는 것은 침해의 공개입니다. 회사는 공개함으로써 올바른 일을하고 있다고 생각하지만 대신 결국 문제로 간주됩니다."
이것이 고객에게 좋은 이유...
스핀? 알림이 너무 많다는 것은 불필요한 걱정으로 고객을 당황하게 한다는 의미입니다. 이것은 의심할 여지 없이 해커의 대상이 되는 기업에게 좋은 조치이지만 귀하에게도 좋은 조치일 수 있습니다.
현재 미국에서 공개와 관련된 큰 문제는 주 분할법입니다. 주 전체에 걸쳐 서로 다른 규정을 준수하면 실제로 발생한 일을 사람들에게 알리는 프로세스가 느려집니다. 기업은 별도의 고리를 건너뛰는 대신 FTC 판결만 준수하면 됩니다.
기준은 종종 관련이 있습니다. 변호사는 어떤 데이터가 고객에게 영향을 미칠 수 있는지 어떻게 결정합니까? 다행히 이러한 내용은 2015년 초안의 데이터 보안 및 침해 통지법에 명시되어 있습니다. 물론 그들은 국가 안보와 관련된 데이터 보호의 중요성을 강조하지만 첫 번째와 두 번째 조항은 모든 주요 누출을 다루고 있습니다.
통지도 신속해야 합니다. 귀하의 개인 금융 정보가 유출된 경우 (최소한 이론상으로는) 가능한 한 빨리 알려야 합니다. 그것은 그것에 대해 뭔가를 할 더 많은 시간을 의미합니다! 행동이 빠를수록 영향을 덜 받습니다. 하지 말아야 할 일의 예로 영국 기업을 예로 들어 보겠습니다. Carphone Warehouse는 "정교한 사이버 공격"의 피해를 입었다고 발표하는 데 3일이 걸렸습니다. 최대 90,000개의 신용 카드가 영향을 받을 수 있지만 이 데이터는 암호화되어 있으므로 위험이 줄어듭니다.
이에 영향을 받는 모든 사람을 위해 Carphone Warehouse는 은행이 활동을 모니터링하고 신용 등급을 확인하는 것을 포함하여 무엇을 해야 하는지 고객에게 조언했습니다. 이러한 조치 외에도 해당 특정 계정의 비밀번호도 변경해야 하며 동일한 비밀번호를 사용하는 모든 계정의 비밀번호도 변경해야 하며(그리고 안전한 비밀번호를 만드는 방법을 배워야 함) 사기 행위(특히 범죄자들은 종종 라인을 열어 둘 수 있으므로 은행 대신 다시 전화를 겁니다.
신용 카드 사기의 피해자인 경우 취해야 할 조치에 대한 체크리스트를 살펴보고 은행에서 온라인이나 전화로 절대 묻지 않는 사항을 기억하십시오.
알림에도 비용이 발생할 수 있습니다. 모든 고객에게 모든 침해에 대해 알리는 것은 리소스를 소모합니다. 예, 이를 우회하는 것이 회사에 더 좋지만 보안의 잠재적인 허점을 닫고 침해를 조사하는 데 집중할 수 있다는 의미이기도 합니다. 기업은 보안 취약점에 대해 무언가를 하고 있는 것으로 보여 평판에 대한 손상을 줄이려고 노력해야 합니다. Carphone Warehouse는 사과하고 사이트에 대한 액세스를 차단했지만 지금까지는 사기 행위의 피해자에게 돈을 제공하지 않습니다.
더 좋습니까 아니면 더 나쁠까요?
아직 법이 아닙니다. 나는 그것이 이상적인 상황이라고 말하는 것이 아니다. 마찬가지로, 소리가 그렇게 나쁠 필요는 없습니다.
고객은 당황하며 이는 이해할 수 있는 반응입니다. 그런 걱정을 줄이고 명성과 재정을 손상시키려는 기업을 탓할 수 있습니까!
한편, 기업이 이러한 것들을 비밀로 유지한다면 어떻게 믿을 수 있습니까? 그들에게 귀하의 개인 정보를 제공하는 것이 안전하다고 느끼십니까? 그리고 그들이 당신의 신뢰를 보증합니까?