ऑनलाइन जानकारी के धन के साथ, हम सभी संभावित सुरक्षा उल्लंघनों के बारे में चिंतित हैं। लेकिन संभावित रूप से, इन उल्लंघनों को संयुक्त राज्य अमेरिका में गुप्त रखा जा सकता है।
डेटा उल्लंघनों की गड़गड़ाहट के बिना ऐसा कोई महीना दुर्लभ है। जरा एशले मैडिसन लीक को देखें, जिसमें धोखाधड़ी करने वाले पति-पत्नी के खाते का विवरण ऑनलाइन डंप किया गया था। यह बहुत बड़ी बात है और इसके गंभीर परिणाम होते हैं। एडल्टफ्रेंड फाइंडर के यूजर्स को मई में भी इसी तरह का सिरदर्द हुआ था। पिछले साल भी eBay से समझौता किया गया था।
किसी भी तरह के लीक को गुप्त रखना पागल लगता है। लेकिन है ना?
यह निश्चित रूप से शामिल कंपनियों के हित में होगा, लेकिन ग्राहकों के लिए भी सकारात्मक प्रभाव हो सकता है। सच में नहीं। यह सभी गुलाब नहीं हैं, लेकिन यह उतना भयानक भी नहीं हो सकता जितना लगता है।
जब कंपनियां चुप रहें
प्रस्तावित कानून कुछ परिस्थितियों में कंपनियों को चुप रहने की अनुमति दे सकता है जब हैकर्स उनके सिस्टम तक पहुंचते हैं - लेकिन केवल अगर वे मानते हैं कि "कोई उचित मौका नहीं है" तो ऐसा उल्लंघन ग्राहकों को गंभीर रूप से प्रभावित कर सकता है। आमतौर पर, हैकर्स के शिकार किसी भी कंपनी को फ़ेडरल ट्रेड कमीशन (FTC) को विवरण भेजने की आवश्यकता होती है। यह वर्तमान राज्य प्रकटीकरण कानून बनाएगा, जिनमें से अधिकांश कंपनियों को लीक की घोषणा करने के लिए प्रेरित करते हैं।
मूल रूप से, अगर कुछ भी संवेदनशील या संभावित रूप से नुकसान पहुंचाने वाला चोरी नहीं होता है, तो व्यवसायों को हैक होने पर आपको सूचित करने की आवश्यकता नहीं होती है।
हैक किए गए व्यवसायों को यह मूल्यांकन करने की आवश्यकता होगी कि क्या निकाला गया डेटा कुछ ऐसा है जिसके बारे में ग्राहकों को चिंता करनी चाहिए, अर्थात। पहचान की चोरी या बैंकिंग जानकारी का कारण बन सकता है। फिर सामान्य प्रक्रियाओं का पालन करना होगा। सूचनाएं भेजनी होंगी यदि:
<ब्लॉकक्वॉट>"सुरक्षा उल्लंघन में शामिल हैं:(1) 10,000 से अधिक व्यक्तियों की व्यक्तिगत जानकारी, (2) 10 लाख से अधिक व्यक्तियों की व्यक्तिगत जानकारी वाला डेटाबेस, (3) संघीय सरकार के डेटाबेस, या (4) संघीय की व्यक्तिगत जानकारी कर्मचारी या ठेकेदार जो राष्ट्रीय सुरक्षा या कानून प्रवर्तन में शामिल होने के लिए जाने जाते हैं।"
गेराल्ड फर्ग्यूसन, बेकर एंड होस्टेटलर एलएलपी के एक गोपनीयता वकील, जो लीक होने पर कंपनियों को सलाह देते हैं, ने वॉल स्ट्रीट जर्नल को बताया:
<ब्लॉकक्वॉट>"[बिल] कम अधिसूचनाओं का नेतृत्व करेगा ... यह कंपनियों को दूसरा विश्लेषण करने की अनुमति देगा कि क्या वित्तीय नुकसान का उचित जोखिम है। जब आप नुकसान विश्लेषण का जोखिम करना शुरू कर रहे हैं तो बहुत विवेक है ।"
2015 के डेटा सुरक्षा और उल्लंघन अधिसूचना अधिनियम को दो बार पढ़ा गया और जनवरी में वाणिज्य, विज्ञान और परिवहन समिति को भेजा गया।
क्यों यह व्यवसायों के लिए बहुत अच्छा है
विडंबना यह है कि एशले मैडिसन ने क्या पेशकश की:विवेक।
प्रतिष्ठा प्रमुख है। इसलिए, उदाहरण के लिए, कारफ़ोन वेयरहाउस अपने हाल के उल्लंघन के प्रति उदासीन रहा, जिसने संभवतः लंबे समय तक यूके में 2.4 मिलियन लोगों को प्रभावित किया हो। कोई भी ऐसी कंपनी का उपयोग नहीं करना चाहता जो उन्हें लगता है कि हमले की चपेट में है। ओरेकल ने ग्राहकों से सुरक्षा समस्याओं का पता लगाने के लिए अपने कोड को रिवर्स इंजीनियर न करने की भीख मांगकर खुद को पैर में गोली मार ली। यह स्वीकार करने जैसा ही है कि आपके पास सुरक्षा से संबंधित बहुत सारे मुद्दे हैं , या एक बड़ा साइन इन करते हुए पढ़ना, "आप अपनी व्यक्तिगत जानकारी के साथ हम पर भरोसा नहीं कर सकते!"
अच्छा चिल्लाओ, Oracle.
प्रतिष्ठा बहुत मायने रखती है। इसका मतलब है पैसा। 2014 के एक अध्ययन से पता चला है कि डेटा उल्लंघन में लीक हुए प्रत्येक रिकॉर्ड के लिए व्यवसायों ने औसतन $ 145 खर्च किए, लेकिन जब लोकप्रिय खुदरा विक्रेता, लक्ष्य ने घोषणा की कि 2013 में 40 मिलियन ग्राहकों के क्रेडिट कार्ड से समझौता किया गया था, तो पीड़ित नुकसान में $ 10,000 तक का दावा कर सकते थे (हालांकि यह कुल मिलाकर काफी कम था)। यह कुल मिलाकर $10 मिलियन था।
ऐसा लगता है कि लक्ष्य निगम में बड़े पैमाने पर क्षतिग्रस्त स्टॉक नहीं है, हालांकि उल्लंघन के बाद कीमतों में गिरावट आई है। कानूनी रूप से आवश्यक होने से पहले उन्होंने जानकारी का खुलासा करने में वास्तव में मदद की होगी।
बहरहाल, यह जोखिम भरा था। पिछले मार्च में सिक्योरिटीज एंड एक्सचेंज कमीशन के अटॉर्नी डगलस मील ने कहा:
<ब्लॉकक्वॉट>"[मैं] अगर आप कभी भी उल्लंघन का खुलासा नहीं करते हैं तो आपके पास क्लास एक्शन सूट नहीं है ... यह उल्लंघन का खुलासा है जो मुकदमेबाजी का तूफान पैदा करता है ... कंपनियों को लगता है कि वे खुलासा करके सही काम कर रहे हैं लेकिन इसके बजाय अंत में समस्या के रूप में देखा जा रहा है।"
यह ग्राहकों के लिए अच्छा क्यों हो सकता है...
स्पिन? बहुत अधिक सूचनाओं का अर्थ ग्राहकों को अनावश्यक चिंता से डराना है। यह निस्संदेह हैकर्स के अधीन व्यवसायों के लिए एक अच्छा कदम है, लेकिन यह आपके लिए भी एक अच्छा कदम हो सकता है।
संयुक्त राज्य अमेरिका में प्रकटीकरण के साथ अभी एक बड़ी समस्या राज्य विभाजन कानून है। राज्यों में अलग-अलग नियमों का पालन करने से वास्तव में लोगों को यह बताने की प्रक्रिया धीमी हो जाती है कि क्या हुआ है। अलग-अलग हुप्स के माध्यम से कूदने के बजाय, कंपनियों को केवल FTC शासन का पालन करने की आवश्यकता होगी।
मानदंड अक्सर संबंधित होते हैं; एक वकील कैसे निर्धारित करता है कि कौन सा डेटा ग्राहकों को प्रभावित कर सकता है? सौभाग्य से, ये 2015 के मसौदे के डेटा सुरक्षा और उल्लंघन अधिसूचना अधिनियम में स्पष्ट रूप से निर्धारित किए गए हैं। बेशक, वे राष्ट्रीय सुरक्षा से संबंधित डेटा की सुरक्षा के महत्व को रेखांकित करते हैं, लेकिन पहले और दूसरे खंड किसी भी बड़ी लीक को कवर करते हैं।
सूचनाएं भी तेज होनी चाहिए:यदि आपकी व्यक्तिगत वित्तीय जानकारी से समझौता किया गया है, तो आपको (सिद्धांत रूप में, कम से कम) जल्द से जल्द बताया जाना चाहिए। इसका मतलब इसके बारे में कुछ करने के लिए और अधिक समय होगा! आप जितनी तेजी से कार्य करेंगे, इसका आप पर उतना ही कम प्रभाव पड़ेगा। आइए यूके के एक व्यवसाय का उदाहरण के रूप में उपयोग करें कि क्या नहीं करना है:कारफ़ोन वेयरहाउस को यह घोषणा करने में तीन दिन लगे कि वे "परिष्कृत साइबर हमले" का शिकार होंगे। 90,000 तक क्रेडिट कार्ड प्रभावित हो सकते हैं, हालांकि यह डेटा एन्क्रिप्टेड है, इसलिए जोखिम कम हो जाता है।
इससे प्रभावित किसी भी व्यक्ति के लिए, Carphone Warehouse ने ग्राहकों को सलाह दी कि उन्हें क्या करना चाहिए, जिसमें यह सुनिश्चित करना शामिल है कि आपका बैंक गतिविधि पर नज़र रखता है, और आपकी क्रेडिट रेटिंग की जाँच करता है। इन उपायों के अलावा, आपको उन विशिष्ट खातों के पासवर्ड भी बदलने चाहिए, साथ ही साथ कोई भी पासवर्ड जो आप एक ही पासवर्ड का उपयोग करते हैं (और एक सुरक्षित पासवर्ड बनाना सीखें), और धोखाधड़ी गतिविधि की चेतावनी वाले फोन कॉल से सावधान रहें (विशेषकर जैसे अपराधी अक्सर लाइन को खुला रख सकते हैं, इसलिए आप अपने बैंक के बजाय उन्हें वापस बुला सकते हैं)।
यदि आप क्रेडिट कार्ड धोखाधड़ी के शिकार हैं, तो क्या करें, इसकी एक चेकलिस्ट देखें और ध्यान रखें कि बैंक आपसे ऑनलाइन या फोन पर क्या नहीं पूछेंगे।
सूचनाओं के लिए पैसे भी खर्च हो सकते हैं। प्रत्येक ग्राहक को प्रत्येक उल्लंघन के बारे में बताने से संसाधनों की खपत होती है। हां, इसे दरकिनार करना कंपनियों के लिए बेहतर होगा, लेकिन इसका मतलब यह भी है कि वे अपनी सुरक्षा में संभावित खामियों को बंद करने और उल्लंघनों की जांच करने पर ध्यान केंद्रित कर सकते हैं। कंपनियों को अपनी सुरक्षा कमजोरियों के बारे में कुछ करते हुए, अपनी प्रतिष्ठा को नुकसान कम करने की कोशिश करते हुए देखा जाना चाहिए। कारफोन वेयरहाउस ने माफी मांगी और साइटों तक पहुंच को अवरुद्ध कर दिया, लेकिन अभी तक वे धोखाधड़ी गतिविधि के किसी भी शिकार को पैसे की पेशकश नहीं कर रहे हैं।
बेहतर या बदतर के लिए?
यह अभी कानून नहीं है। मैं यह नहीं कह रहा कि यह एक आदर्श स्थिति है। समान रूप से, यह उतना बुरा नहीं है जितना लगता है।
ग्राहक घबराते हैं - और यह एक समझने योग्य प्रतिक्रिया है। क्या आप उस चिंता को कम करने के लिए कंपनियों को दोषी ठहरा सकते हैं... और इसकी प्रतिष्ठा और वित्त को नुकसान पहुंचा सकते हैं!
दूसरी ओर, यदि कोई व्यवसाय इन बातों को गुप्त रखता है, तो आप उन पर कभी कैसे भरोसा कर सकते हैं? क्या आप उन्हें अपनी व्यक्तिगत जानकारी देना सुरक्षित महसूस करते हैं? और क्या वे आपके भरोसे की गारंटी देते हैं?