Сколько потребуется утечек данных, прежде чем наши лидеры признают необходимость национального закона о конфиденциальности?
Более полумиллиарда пользователей Facebook, в том числе 32 миллиона в США, узнали за выходные, что к их личной информации получили доступ хакеры.
Имена, даты рождения, местонахождение, номера телефонов, адреса электронной почты и другая информация была размещена на веб-сайте, используемом кибер-ворами. Данные, похоже, датированы несколькими годами давности.
В то время как раскрытие этой информации может представлять относительно небольшой риск для конфиденциальности людей, этого нельзя сказать об отдельной, более недавней утечке данных с участием страховой компании Health Net. .
В этом случае были взломаны имена людей, адреса, даты рождения, номера страховых полисов и конфиденциальные медицинские записи.
Не менее тревожно, Health Net ждал два месяца прежде чем уведомить страхователей об этом инцидент. Два месяца!
Компания сообщает, что серверы стороннего поставщика, Accellion, были взломаны в период с 7 по 25 января. Уведомления для страхователей были датированы 24 марта.
«У нас нет оснований полагать, что ваша информация была использована неправильно», — заявила компания клиентам. Однако все это означает, что Health Net не знает, был ли кто-то обманут или пострадал в результате взлома.
Компания предоставляет страхователям год бесплатного кредитного мониторинга и защиты от кражи личных данных.
«Ваша личная информация важна для нас», — заявила Health Net. «Мы сожалеем о любых проблемах, которые это могло вызвать у вас». Никто в компании не ответил на мой запрос о дополнительной информации.
Я говорю, что хватит, достаточно.
Пришло время законодателям признать, что частные хранители нашей личной информации не в состоянии обеспечить нашу безопасность.
Пришло время последовать примеру Европы и даже Китая в принятии национального закона о конфиденциальности который устанавливает четкие, недвусмысленные правила сбора и хранения данных — и важные последствия для компаний, которые не справляются с этой задачей.
Дэвид А. Хоффман, профессор государственной политики в Университете Дьюка, назвал национальный закон о конфиденциальности «критически важным» чтобы помочь защитить американцев ».
« Наше нынешнее лоскутное одеяло из федеральных законов и законов штатов не обеспечивает надежного, согласованного и предсказуемого обеспечения защиты частной жизни для отдельных лиц », — сказал он мне.
«Вместо этого наши законы в первую очередь возлагают бремя на отдельных лиц, чтобы выяснить, у кого есть их данные».
J.W. Август — один из таких людей. Житель Сан-Диего сказал мне, что он был клиентом Health Net «много лет». Он был возмущен, когда на днях получил от компании уведомление о нарушении правил.
«Это заставляет меня скрипеть зубами», — сказал Август 76. «У этих людей есть мои данные, и они просто не несут ответственности.
« Почему с этим ничего не делается? »
Это совершенно правильный вопрос. Кажется, не проходит и недели без известия об очередном инциденте, когда личная информация людей попадает в руки плохих парней или попадает в Интернет.
По данным Ресурсного центра по краже личных данных, с 2005 года было зафиксировано около 12 000 известных утечек данных. По данным Информационного центра прав на конфиденциальность, количество записей, к которым получили доступ хакеры, приближается к 12 миллиардам.
количество зарегистрированных нарушений снизилось в прошлом году по сравнению с предыдущим годом, общее количество записей, к которым был получен доступ, увеличилось более чем вдвое, согласно недавнему отчету консалтинговой фирмы Risk Based Security.
Нарушение Accellion, затронувшее медицинские записи Health Net, также раскрыло данные других крупных компаний и организаций, включая Стэнфордский университет, Калифорнийский университет в Беркли, Kroger и юридическую фирму Jones Day.
Очевидно, наша существующая нормативно-правовая база — или его отсутствие — не справится с задачей высококвалифицированных и целеустремленных киберпреступников. Нам нужно работать лучше.
«Единый национальный сводный закон был бы более четким стандартом, чем то, что мы имеем сейчас», — сказал Ричард ДеМилло, председатель Школы кибербезопасности и конфиденциальности Технологического института Джорджии.
Это не значит, что членам Конгресса приходится изобретать велосипед. Один из шаблонов, которым они могли бы следовать, — это Закон Калифорнии о конфиденциальности потребителей, самый строгий закон штата о конфиденциальности в стране. В 2023 году вступит в силу более строгий закон Калифорнии о правах на неприкосновенность частной жизни.
Среди прочего, Закон Калифорнии о конфиденциальности потребителей предписывает компаниям сообщать клиентам, какую информацию они о себе собрали, и прекращать продажу этих данных, если потребуется.
Более широкие правила можно найти по ту сторону Атлантики. Общие правила защиты данных Европы вступили в силу в 2018 году и теперь служат мировым стандартом защиты конфиденциальности.
Среди наиболее примечательных элементов европейского законодательства:
- Компании должны получать согласие от клиентов, прежде чем использовать или передавать свою личную информацию. Компании также должны упростить для клиента отзыв согласия.
- Потребители имеют право знать, как используются их личные данные, и получать бесплатную копию любой такой информации, которой владеет компания.
- Есть право на забвение — то есть физическое лицо может потребовать, чтобы компания удалила его или ее данные и больше не использовала их.
- Любое нарушение закона может повлечь за собой штраф в размере до 20 миллионов евро (около 24 миллионов долларов) или 4% годового глобального дохода компании, в зависимости от того, что больше.
Ключевое положение в свете медлительной реакции Health Net на январское нарушение — это требование, чтобы европейские компании уведомляли власти о любой потере данных в течение 72 часов с момента обнаружения события.
Более того, предприятия должны уведомлять клиентов «без неоправданной задержки», если существует «высокий риск для прав и свобод» людей, затронутых нарушением. Это причудливый способ сказать, что такие вещи нельзя держать под шляпой.
Можем ли мы увидеть что-то в этом роде на национальном уровне в ближайшее время? «Скорее всего, нет», — сказал ДеМилло из Технологического института Джорджии.
Трудно представить, в нынешнем политическом климате, республиканцы и демократы согласятся даже на самые разумные меры по защите людей от хакеров, сказал он мне.
«Консерваторы почти наверняка будут настаивать на формулировке слабого федерального закона, который вытесняет более строгие законы штатов», — сказал ДеМилло.
Нарушения, связанные с Facebook и Health Net, показывают, что эта проблема никуда не исчезнет и что существующие меры конфиденциальности многих крупных компаний (и их партнеров) неадекватны.
Возможно, потребуется взлом атака на Конгресс, чтобы заставить законодателей действовать.
С другой стороны, в свете ошеломляющего бездействия, которое последовало за беспорядками 6 января, даже это, вероятно, не принесет нам необходимой помощи.
