FCC chce obmedziť vplyv narušenia údajov na používateľov

January 19, 2022
VNovinky Internetová Bezpečnosť

Kľúčové poznatky

FCC navrhla tri zmeny v postupe telekomunikačných spoločností v prípade porušenia údajov.
FCC tvrdí, že návrhy sú predložené vo svetle vyvíjajúceho sa bezpečnostného prostredia.
Odborníci z odvetvia tento krok uvítali a tvrdili, že zmeny prispejú k väčšej transparentnosti zverejňovania informácií.

silueta hackera pred modrými čiarami jednotiek a núl — Bill Hinton / Getty Images

Odborníci z odvetvia privítali a návrh predložila Federálna komisia pre komunikácie (FCC), aby prinútila spoločnosti, aby bezodkladne zdieľali podrobnosti o akomkoľvek porušení ochrany údajov s dotknutými používateľmi.

Návrh predložila predsedníčka FCC Jessica Rosenworcel prichádza vo svetle nedávnych únikov údajov a snaží sa prepracovať súčasné pravidlá vzhľadom na zvýšenú frekvenciu, sofistikovanosť a rozsah únikov údajov.

"Nové návrhy FCC sú krokom správnym smerom," Jack Chapman, viceprezident pre spravodajstvo o hrozbách s dodávateľom zabezpečenia Egress, povedal Lifewire e-mailom. „[Posilnia] ochranu dotknutých osôb a zlepšia transparentnosť medzi dopravcami, spotrebiteľmi a samotného regulátora, čo by malo prispieť k podpore práv dotknutých osôb pri aktuálnom ohrození krajina."

Krajina vyvíjajúcich sa hrozieb

Podľa tlačovej správy FCC je cieľom navrhovaných aktualizácií zosúladiť pravidlá, ktorými sa riadi telekomunikačný priemysel, so zákonmi upravujúcimi ostatné sektory.

„Súčasná legislatíva už vyžaduje, aby telekomunikační operátori chránili súkromie a bezpečnosť citlivých informácií o zákazníkoch. Tieto pravidlá však potrebujú aktualizáciu, aby plne odrážali vyvíjajúci sa charakter narušenia údajov a hrozbu, ktorú predstavujú pre dotknutých spotrebiteľov v reálnom čase,“ poznamenal Rosenworcel v návrhu.

Koncept kybernetickej bezpečnosti a ochrany súkromia. Databázové úložisko 3D ilustrácie — JuSun / Getty Images

Chapman súhlasí s tým, že aktualizácie sa zaoberajú skutočnosťou, že telekomunikačný priemysel sa zameriava na a „prílivovej vlne sofistikovaných kybernetických útokov“, pričom uvádzame príklad T-Mobile, ktorý nedávno utrpel porušenie že zverejnila údaje viac ako 50 miliónov svojich zákazníkov.

Návrh FCC načrtáva tri významné aktualizácie súčasných pravidiel oznamovania porušení. Prvá sa snaží odstrániť povinnú požiadavku sedemdňovej čakacej lehoty na upovedomenie zákazníkov o porušení.

Rosenworcel argumentoval odstránením čakacej doby a uviedol, že zákazníci musia byť chránení pred únikmi údajov, ktorých následky môžu trvať roky po počiatočnom vystavení.

„Zabezpečenie toho, aby tieto podniky reagovali zodpovedne a rýchlo na akékoľvek porušenie ochrany údajov, pomáha vytvárať lepšiu kolektívnu kultúru ochrany súkromia a bezpečnosti údajov...“

Chapman, keď videl opodstatnenosť tohto kroku, povedal, že ak sú zákazníci o porušení okamžite informovaní namiesto o týždeň neskôr môžu byť ostražitejšie voči následným útokom, ako je phishing a vishing. Veril, že je to kritické a mohlo by to pomôcť používateľom chrániť sa pred útokmi, ktoré by mohli viesť k strate ďalších údajov.

„Odstránením sedemdňovej čakacej lehoty na to, aby dopravcovia upozornili zákazníkov na porušenie ochrany údajov, FCC vracia energiu späť v rukách ľudí, čo im pomáha podniknúť kroky na svoju ochranu, ak boli ich údaje porušené,“ uviedol Chapman.

Určenie viny

FCC chce tiež rozšíriť rozsah ochrany zákazníkov tým, že prinúti spoločnosti zdieľať podrobnosti o „neúmyselných porušeniach“.

Chapman označil tento krok za „vítaný krok“, povedal pre Lifewire, že neúmyselné porušenia môžu byť rovnako závažné ako kybernetické útoky. Tvrdil, že akonáhle dôjde k poškodeniu, pre používateľov je malý rozdiel, či ich informácie boli ukradnuté prostredníctvom sieťového hacku alebo z nezabezpečeného servera.

koncept deravého softvéru, dáta s kohútikom trčiacim out.3d ilustrácie — the-lightwriter / Getty Images

Tretia zmena, ktorú FCC navrhla, vyzýva dotknutú telekomunikačnú spoločnosť, aby informovala jednotlivcov a FCC, FBI a tajnú službu USA.

Chapman opäť vidí zásluhy v tomto kroku a dôvody, ktoré zlanárili v iných federálnych agentúrach, by mohli spotrebiteľom poskytnúť dlhodobejší úžitok posilnením regulačnej reakcie na porušenia. Povedal, že opatrenie by zabezpečilo, že regulátor bude môcť reagovať rýchlejšie a efektívnejšie a pomôže zabezpečiť, aby organizácie, ktoré sa previnili, boli riadne pokarhané.

„Prepravcovia zhromažďujú obrovské množstvo informácií o svojich zákazníkoch, z ktorých väčšina pozostáva zo súkromných a vysoko citlivých údajov,“ Trevor J. Morgan, produktový manažér so špecialistami na bezpečnosť údajov comforte AG, povedal Lifewire e-mailom. „Zabezpečiť, aby tieto podniky reagovali zodpovedne a rýchlo na akékoľvek porušenie údajov – úmyselné hacknutie alebo neúmyselné únik údajov – pomáha vytvárať lepšiu kolektívnu kultúru ochrany súkromia a bezpečnosti údajov a mimochodom podporuje verejnosť dôveruj."