Avec la richesse de l'information en ligne, nous sommes tous préoccupés par les failles de sécurité potentielles. Mais potentiellement, ces violations pourraient être gardées secrètes aux Etats-Unis.
Il est rare qu'un mois s'écoule sans que les bruits de données ne grondent. Il suffit de regarder la fuite Ashley Madison Hackers Out utilisateurs Ashley Madison, parler comme Stephen Hawking ... [Tech Nouvelles Digest] Hackers Out utilisateurs Ashley Madison, parler comme Stephen Hawking ... [Tech Nouvelles Digest] Les tricheurs sont sortis sur le web sombre, comment parler comme Hawking, les Etats-Unis gardent le contrôle de l'ICANN, investissent dans les jeux vidéo à travers Fig, regardent Netflix de loin, et prennent des selfies avec des zombies. Lire la suite, qui a vu les détails du compte des conjoints tricheurs jetés en ligne. Ashley Madison: Que se passe-t-il maintenant Nous savons que vous êtes un tricheur Ashley Madison: Que se passe-t-il maintenant Nous savons que vous êtes un tricheur Le site de rencontres Ashley Madison a récemment été piraté par des pirates informatiques. toute la base de données sauf si le site est fermé. Cette semaine, la base de données a été divulguée. Vos indiscrétions vont-elles devenir publiques? Lire la suite . Les utilisateurs d'AdultFriend Finder ont des maux de tête similaires Site de rencontre Hack: Adult FriendFinder Hack quitte les utilisateurs Inquiet Site de rencontre Hack: Adult FriendFinder Hack quitte les utilisateurs inquiets Les utilisateurs de site de rencontres en ligne Adult FriendFinder - et les différents sites alternatifs dans son réseau - Il est apparu que la base de données de près de 4 millions de dossiers a été ... Lire la suite en mai. Même eBay a été compromise La violation de données eBay: Ce que vous devez savoir La violation de données eBay: Ce que vous devez savoir Lire la suite l'année dernière.
Garder une sorte de fuite secrète semble fou. Mais est-ce?
Ce serait dans l'intérêt des entreprises concernées, bien sûr, mais il pourrait également y avoir un effet d'entraînement positif pour les clients. Pas vraiment. Ce ne sont pas toutes des roses, mais ce n'est peut-être pas aussi terrible que ça en a l'air.
Quand les entreprises restent silencieuses
Le projet de loi pourrait permettre aux entreprises, dans certaines circonstances, de rester bouche bée lorsque les pirates accèdent à leurs systèmes - mais seulement si elles croient qu'il n'y a «aucune chance raisonnable» qu'une telle violation puisse affecter sérieusement les clients. Typiquement, toute entreprise victime de pirates aurait besoin d'envoyer des détails à la Federal Trade Commission (FTC). Il rendrait les lois actuelles sur la divulgation de l'état, dont la plupart poussent les entreprises à annoncer des fuites, sans objet.
Fondamentalement, si rien de sensible ou potentiellement dommageable n'est volé, les entreprises n'ont pas besoin de vous avertir lorsqu'elles sont piratées.
Les entreprises piratées devraient évaluer si les données extraites sont quelque chose que les clients devraient s'inquiéter, à savoir. pourrait conduire à un vol d'identité ou à des informations bancaires. Les procédures normales devraient alors suivre. Les notifications devraient être envoyées si:
«Une atteinte à la sécurité comprend: (1) les renseignements personnels de plus de 10 000 personnes; (2) une base de données contenant plus d'un million de renseignements personnels; (3) des bases de données du gouvernement fédéral; employés ou entrepreneurs connus pour être impliqués dans la sécurité nationale ou l'application de la loi. "
Gerald Ferguson, un avocat de la vie privée chez Baker & Hostetler LLP, qui conseille les entreprises en cas de fuite, a déclaré au Wall Street Journal:
«[Le projet de loi] entraînerait moins de notifications ... Cela permettrait aux entreprises de faire une deuxième analyse pour déterminer s'il existe un risque raisonnable de préjudice financier. Lorsque vous commencez à faire une analyse des risques, il y a beaucoup de discrétion. "
La Loi de 2015 sur la sécurité des données et les avis de violation a été lue deux fois et renvoyée au Comité du commerce, de la science et des transports en janvier.
Pourquoi c'est génial pour les entreprises
C'est tout sur ce que, ironiquement, Ashley Madison a offert Ashley Madison Leak No Big Deal? Réfléchissez encore Ashley Madison Fuite No Big Deal? Think Again Site de rencontre en ligne discret Ashley Madison (ciblant principalement les conjoints tricheurs) a été piraté. Cependant, cette question est beaucoup plus grave que celle qui a été décrite dans la presse, avec des implications considérables pour la sécurité des utilisateurs. Lire la suite: discrétion.
La réputation est la clé. C'est pourquoi, par exemple, Carphone Warehouse est resté timide sur leur récente violation, qui a pu toucher 2, 4 millions de personnes au Royaume-Uni, aussi longtemps que possible. Personne ne veut utiliser une entreprise qui, selon eux, est vulnérable aux attaques. Oracle s'est tiré une balle dans le pied en suppliant les clients de ne pas inverser leur code Oracle veut que vous arrêtiez de leur envoyer des bugs - Voici pourquoi c'est fou Oracle veut que vous arrêtiez de les envoyer - Voici pourquoi c'est fou Oracle est dans l'eau posté par le chef de la sécurité, Mary Davidson. Cette démonstration de la façon dont la philosophie de sécurité d'Oracle s'écarte du courant dominant n'a pas été bien reçue dans la communauté de la sécurité ... Lisez la suite pour trouver des problèmes de sécurité. C'est la même chose que d'admettre que vous avez beaucoup de problèmes concernant la sécurité, ou de lancer une énorme pancarte indiquant: «Vous ne pouvez pas nous faire confiance avec vos informations personnelles!
Bon cri, Oracle.
La réputation signifie beaucoup. Cela signifie de l'argent. Une étude de 2014 révèle que les entreprises ont dépensé en moyenne 145 $ pour chaque fuite de données, mais Target, un détaillant populaire, a annoncé que 40 millions de cartes de crédit avaient été compromises. Target confirme jusqu'à 40 millions de clients américains Cartes de crédit Potentially Hacked Target Confirme jusqu'à 40 millions de clients américains Cartes de crédit Potentiellement piraté Target vient de confirmer qu'un piratage pourrait avoir compromis les informations de carte de crédit pour les 40 millions de clients qui ont fait leurs achats dans ses magasins américains entre le 27 novembre et le 15 décembre 2013. Lire la suite En 2013, les victimes pouvaient réclamer jusqu'à 10 000 $ de dommages-intérêts (bien que ce soit considérablement moins élevé). La cible paie pour la violation de données, PlayStation Vue défie le câble [Tech News Digest] La cible paie pour la violation de données, PlayStation Vue défie le câble [Tech News Digest] cible la compensation, visionne PlayStation Vue, fait taire Facebook, joue au tennis Chromecast, en utilisant le mode God Netflix, et pilotant un drone de vélo Speeder. Lire la suite .
Il ne semble pas avoir massivement endommagé les actions de Target Corporation, bien que les prix aient baissé suite à la violation. Cela aurait peut-être aidé à divulguer des informations avant qu'elles ne soient légalement tenues de le faire.
Néanmoins, c'était risqué. Douglas Meal, avocat à la Securities and Exchange Commission en mars dernier, a déclaré:
«Si vous ne divulguez jamais la violation, alors vous n'avez pas les recours collectifs ... C'est la divulgation de la violation qui crée la tempête de litige ... Les entreprises pensent qu'elles font la bonne chose en divulguant, mais finissent par être considéré comme le problème. "
Pourquoi cela pourrait-il être bon pour les clients ...
Le spin? Trop de notifications signifient paniquer les clients avec des soucis inutiles. C'est sans aucun doute un bon coup pour les entreprises sujettes aux pirates, mais ce pourrait être une bonne décision pour vous aussi.
Un gros problème en ce moment avec la divulgation aux États-Unis est les lois de division d'état. Le fait de se conformer à différentes réglementations à travers les États ralentit le processus qui consiste à informer les gens de ce qui s'est passé. Au lieu de sauter par des cerceaux séparés, les entreprises n'auraient qu'à se conformer à la décision de la FTC.
Les critères sont souvent préoccupants; juste comment un avocat détermine quelles données pourraient affecter les clients? Heureusement, ils sont clairement présentés dans le projet de Loi de 2015 sur la sécurité des données et la violation des données. Certes, ils soulignent l'importance de protéger les données relatives à la sécurité nationale, mais les première et deuxième clauses couvrent toutes les fuites majeures.
Les notifications devraient également être rapides: si vos informations financières personnelles ont été compromises, vous devriez (en théorie, au moins) être informé dès que possible. Cela signifie plus de temps pour faire quelque chose à ce sujet! Plus vite vous agissez, moins cela devrait vous affecter. Utilisons une entreprise britannique comme exemple de ce qu'il ne faut pas faire: Carphone Warehouse a mis trois jours pour annoncer avoir été victime d'une «cyberattaque sophistiquée». Jusqu'à 90 000 cartes de crédit pourraient être affectées, bien que ces données soient cryptées, donc le risque est réduit.
Carphone Warehouse a conseillé aux clients ce qu'il fallait faire, notamment s'assurer que votre banque surveille l'activité et vérifier votre cote de crédit. En plus de ces mesures, vous devriez également changer les mots de passe sur ces comptes spécifiques, ainsi que toute utilisation du même mot de passe (et apprendre comment créer un mot de passe sécurisé). 7 façons de créer des mots de passe sécurisés et mémorables 7 façons Créer des mots de passe à la fois sécurisés et mémorables Avoir un mot de passe différent pour chaque service est un must dans le monde en ligne d'aujourd'hui, mais il y a une terrible faiblesse dans les mots de passe générés aléatoirement: impossible de s'en souvenir tous. Lire la suite), et méfiez-vous des appels téléphoniques avertissant de l'activité frauduleuse (d'autant plus que les criminels peuvent souvent garder la ligne ouverte, de sorte que vous les rappeler au lieu de votre banque).
Passez en revue une liste de choses à faire si vous êtes victime de fraude par carte de crédit Que faire si vous êtes victime d'une fraude par carte de crédit en ligne Que faire si vous êtes victime d'une fraude par carte de crédit en ligne Gardez à l'esprit ce que les banques ne vous demanderont jamais en ligne Cinq choses que les banques ne vous demanderont jamais en ligne Cinq choses que les banques ne vous demanderont jamais en ligne Avez-vous déjà reçu un e-mail de votre banque? Ces messages sont presque toujours des escroqueries, alors voici quelques choses que votre banque ne demandera jamais en ligne - mais les fraudeurs le feront. Lire la suite ou par téléphone.
Les notifications peuvent aussi coûter de l'argent. En informant chaque client de chaque violation, vous consommez des ressources. Oui, contourner cela serait mieux pour les entreprises, mais cela signifie également qu'ils peuvent se concentrer sur la fermeture des trous potentiels dans leur sécurité et d'enquêter sur les violations. Les entreprises doivent être considérées comme faisant quelque chose au sujet de leurs vulnérabilités de sécurité, en essayant de réduire les dommages à leur réputation. Carphone Warehouse s'est excusé et a bloqué l'accès aux sites, mais jusqu'à présent, ils n'offrent pas d'argent aux victimes d'activités frauduleuses.
Pour le meilleur ou pour le pire?
Ce n'est pas encore la loi. Je ne dis pas que c'est une situation idéale. De même, il ne doit pas être aussi mauvais que cela puisse paraître.
Les clients paniquent - et c'est une réaction compréhensible. Pouvez-vous reprocher aux entreprises de vouloir réduire cette inquiétude ... et de nuire à sa réputation et à ses finances!
D'un autre côté, si une entreprise garde ces choses secrètes, comment pouvez-vous leur faire confiance? Vous sentez-vous en sécurité en leur donnant vos informations personnelles? Et garantissent-ils votre confiance?
Crédits image: doigt sur les lèvres par Dean Drobot via Shutterstock, Sécurité - Dictionnaire par American Advisors Group; The Carphone Warehouse de morebyless; et Target par Mike Mozart.