Ключови изводи
- FCC предложи три промени в процедурата, която телекомуникационните компании следват в случай на нарушение на сигурността на данните.
- FCC твърди, че предложенията са направени в светлината на променящия се пейзаж на сигурността.
-
Експерти от индустрията приветстваха хода, като аргументираха, че промените ще помогнат за по-прозрачното разкриване на информация.
Експерти от индустрията приветстваха предложението, направено от Федералната комисия по комуникациите (FCC), за принуждаване на компаниите да споделят подробности за всякакви нарушения на данните със засегнатите потребители без забавяне.
Предложението, внесено от председателя на FCC Джесика Розенуорсел, идва в светлината на скорошни пробиви на данни и се стреми да преразгледа настоящите правила предвид увеличената честота, сложност и мащаб на изтичането на данни.
"Новите предложения на FCC са стъпка в правилната посока", каза Джак Чапман, вицепрезидент по разузнаването на заплахите към доставчика на сигурност Egress, каза пред Lifewire по имейл. „[Ще] засилят защитата на субектите на данни и ще подобрят прозрачността между превозвачите, потребителите и самия регулатор, което би трябвало да помогне за поддържане на правата на субектите на данни в настоящата среда на заплахи.“
Развиващ се пейзаж на заплахите
Според прессъобщението на FCC, предложените актуализации имат за цел да изравнят правилата, които управляват телекомуникационната индустрия, със законите, управляващи другите сектори.
Сегашният закон вече изисква телекомуникационните оператори да защитават поверителността и сигурността на чувствителната клиентска информация. Но тези правила се нуждаят от актуализиране, за да отразяват напълно развиващия се характер на нарушенията на сигурността на данните и заплахата в реално време, която те представляват за засегнатите потребители“, отбеляза Rosenworcel в предложението.
Чапман се съгласява, като казва, че актуализациите са насочени към реалността, че телекомуникационната индустрия е насочена към „приливна вълна от сложни кибератаки“, цитирайки примера на T-Mobile, който наскоро претърпя пробив, който разкри данните на над 50 милиона клиенти.
Предложението на FCC очертава три значителни актуализации на текущите правила за уведомяване при нарушения. Първият се стреми да премахне задължителното изискване за седемдневен период на изчакване за уведомяване на клиентите за нарушение.
Аргументирайки за премахване на периода на изчакване, Rosenworcel каза, че клиентите трябва да бъдат защитени срещу изтичане на данни, чиито последствия могат да продължат години след първоначалното излагане.
Гарантирането, че тези фирми реагират отговорно и бързо на всяко нарушение на сигурността на данните, помага за създаването на по-добра колективна култура на поверителност и сигурност на данните…
Виждайки заслуги в този ход, Чапман каза, че ако клиентите бъдат уведомени за пробив незабавно, а не повече от седмица по-късно, те могат да бъдат по-бдителни за последващи атаки, като фишинг и вишинг. Той вярва, че това е критично и може да помогне на потребителите да се защитят от атаки, които могат да доведат до загуба на повече данни.
"Чрез премахването на седемдневния период на изчакване за превозвачите да уведомят клиентите за нарушение на сигурността на данните, FCC връща властта обратно в ръцете на хората, като им помага да предприемат стъпки, за да се защитят, ако данните им са били нарушено, " каза Чапман.
Определяне на вината
FCC също иска да разшири обхвата на защитата на клиентите, като принуди компаниите да споделят подробности и за „непреднамерени нарушения“.
Наричайки този ход „добре дошла“, Чапман каза пред Lifewire, че неволните пробиви могат да бъдат също толкова сериозни, колкото и кибератаките. Той твърди, че след като щетата е нанесена, за потребителите няма голяма разлика дали информацията им е била открадната чрез мрежов хак или от несигурен сървър.
Третата промяна, предложена от FCC, призовава засегнатата телекомуникационна компания да уведоми лицата и FCC, ФБР и Тайните служби на САЩ.
Отново Чапман вижда заслуги в хода и причините, че включването на други федерални агенции може да осигури дългосрочна полза за потребителите чрез засилване на регулаторния отговор на нарушенията. Той каза, че мярката ще гарантира, че регулаторът може да реагира по-бързо и ефективно и ще помогне да се гарантира, че виновните организации ще бъдат правилно порицани.
„Превозвачите събират огромно количество информация за своите клиенти, голяма част от която се състои от лични и силно чувствителни данни“, каза Тревър Дж. Морган, продуктов мениджър със специалисти по сигурността на данните comforte AG, каза пред Lifewire по имейл. „Гарантирането, че тези бизнеси реагират отговорно и бързо на всеки хак, умишлено нарушаване на данните или неволно изтичане на данни, помага за създаването на по-добра колективна култура на поверителност и сигурност на данните и между другото подхранва общественото доверие."