Kľúčové poznatky
- FCC navrhlo tri zmeny v postupe telekomunikačných spoločností v prípade porušenia údajov.
- FCC tvrdí, že návrhy sú predložené vo svetle vyvíjajúceho sa bezpečnostného prostredia.
-
Odborníci z priemyslu tento krok uvítali a tvrdili, že zmeny prispejú k transparentnosti zverejňovania informácií.
Odborníci z odvetvia privítali návrh predložený Federálnou komisiou pre komunikácie (FCC), ktorý má spoločnostiam prinútiť, aby bezodkladne zdieľali podrobnosti o akomkoľvek porušení údajov s dotknutými používateľmi.
Návrh, ktorý predložila predsedníčka FCC Jessica Rosenworcel, prichádza vo svetle nedávnych porušení údajov a snaží sa prepracovať súčasné pravidlá vzhľadom na zvýšenú frekvenciu, sofistikovanosť a rozsah únikov údajov.
„Nové návrhy FCC sú krokom správnym smerom,“povedal pre Lifewire e-mailom Jack Chapman, viceprezident pre spravodajstvo hrozieb s dodávateľom zabezpečenia Egress. „[Posilnia] ochranu dotknutých osôb a zlepšia transparentnosť medzi dopravcami, spotrebiteľmi a samotným regulačným orgánom, čo by malo pomôcť pri podpore práv dotknutých osôb v súčasnom prostredí hrozieb.“
Vyvíjajúca sa krajina hrozieb
Podľa tlačovej správy FCC je cieľom navrhovaných aktualizácií, aby boli pravidlá, ktorými sa riadi telekomunikačný priemysel, na rovnakej úrovni ako zákony, ktorými sa riadia ostatné sektory.
„Súčasný zákon už vyžaduje, aby telekomunikační operátori chránili súkromie a bezpečnosť citlivých informácií o zákazníkoch. Tieto pravidlá je však potrebné aktualizovať, aby plne odrážali vyvíjajúci sa charakter narušenia údajov a hrozbu, ktorú predstavujú pre dotknutých spotrebiteľov v reálnom čase,“poznamenal Rosenworcel v návrhu.
Chapman súhlasí s tým, že aktualizácie riešia skutočnosť, že telekomunikačný priemysel je terčom „prívalovej vlny sofistikovaných kybernetických útokov“, pričom uvádza príklad spoločnosti T-Mobile, ktorá nedávno utrpela porušenie, ktoré odhalilo údaje o viac ako 50 miliónov svojich zákazníkov.
Návrh FCC načrtáva tri významné aktualizácie súčasných pravidiel oznamovania porušení. Prvá sa snaží odstrániť povinnú požiadavku sedemdňovej čakacej lehoty na upovedomenie zákazníkov o porušení.
Pri argumentácii za odstránenie čakacej doby Rosenworcel uviedol, že zákazníci musia byť chránení pred únikmi údajov, ktorých následky môžu trvať roky po prvom kontakte.
Zabezpečenie toho, aby tieto podniky reagovali zodpovedne a rýchlo na akékoľvek porušenie údajov, pomáha vytvárať lepšiu kolektívnu kultúru ochrany súkromia a bezpečnosti údajov…
Chapman, ktorý vidí opodstatnenosť tohto kroku, povedal, že ak sú zákazníci upozornení na porušenie okamžite a nie o týždeň neskôr, môžu byť ostražitejší voči následným útokom, ako je phishing a vishing. Veril, že je to kritické a mohlo by to pomôcť používateľom chrániť sa pred útokmi, ktoré by mohli viesť k strate ďalších údajov.
„Odstránením sedemdňovej čakacej doby, počas ktorej musia dopravcovia upozorniť zákazníkov na porušenie ochrany údajov, vracia FCC moc späť do rúk ľudí a pomáha im podniknúť kroky na ochranu, ak boli ich údaje porušené,“povedal Chapman.
Určenie viny
FCC chce tiež rozšíriť rozsah ochrany zákazníkov tým, že prinúti spoločnosti zdieľať podrobnosti o „neúmyselných porušeniach“.
Chapman označil tento krok za „vítaný krok“, povedal pre Lifewire, že neúmyselné porušenia môžu byť rovnako závažné ako kybernetické útoky. Tvrdil, že akonáhle dôjde k poškodeniu, pre používateľov je malý rozdiel, či boli ich informácie ukradnuté prostredníctvom sieťového hacku alebo z nezabezpečeného servera.
Tretia zmena, ktorú FCC navrhla, vyzýva dotknutú telekomunikačnú spoločnosť, aby informovala jednotlivcov a FCC, FBI a tajnú službu USA.
Chapman opäť vidí opodstatnenosť tohto kroku a dôvody, ktoré sa v ostatných federálnych agentúrach stávajú, by mohli spotrebiteľom poskytnúť dlhodobejší úžitok posilnením regulačnej reakcie na porušenia. Povedal, že opatrenie by zabezpečilo, že regulačný orgán bude môcť reagovať rýchlejšie a efektívnejšie a pomôže zabezpečiť, aby organizácie, ktoré sa previnili, boli riadne pokarhané.
„Operátori zhromažďujú obrovské množstvo informácií o svojich zákazníkoch, z ktorých väčšina pozostáva zo súkromných a vysoko citlivých údajov,“povedal pre Lifewire e-mailom Trevor J. Morgan, produktový manažér špecialistov na bezpečnosť údajov comforte AG. „Zabezpečenie toho, aby tieto podniky reagovali zodpovedne a rýchlo na akýkoľvek úmyselný hack alebo neúmyselný únik údajov z narušenia údajov, pomáha vytvárať lepšiu kolektívnu kultúru ochrany súkromia a bezpečnosti údajov a mimochodom podporuje dôveru verejnosti."