Sikkerhed

Den 20. januar anerkendte Heartland Payment Systems, et kreditkortbetalingsfirma, at de fleste af nationen fokuserede på en historisk indvielse, at data tyverne havde installeret spyware på sit netværk for at stjæle kreditkortoplysninger i løbet af 2008. Selskabet siger at det håndterer omkring 100 millioner betalinger om måneden, og ved endnu ikke, hvor meget information blev stjålet; tyveri kan være det største databrud nogensinde.

Men er der nogen der virkelig bekymrer sig om? Eller rettere burde nogen bryde sig?

Lov om databeskyttelse i 44 stater kræver, at virksomheder rapporterer om tab eller tyveri af personlige data, og sådanne love har uden tvivl givet anledning til Heartlands åbenbaring på 2008breach.com. Men hundredvis af andre brud passerer ubemærket af de fleste forbrugere. Selvom det er meningen, at virksomhederne skal følge stærke sikkerhedspraksis for at beskytte følsomme data, synes lovene ikke at nå deres formål.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Sag i punkt: Identity Theft Re-source Center, en San Diego-baseret organisation, der yder gratis hjælp til identitetstyveriofre, fandt ud af, at antallet af rapporterede databrud faldt fra 446 i 2007 til 656 i 2008 - en stigning på 47 procent. > ITRC's Jay Foley mener, at størstedelen af ​​stigningen ikke afspejler en faktisk stigning i overtrædelser, men snarere en stigning i rapporteringen af ​​dem. Selvom det kan ses som en succes for lovene om databeskyttelse, kan det også ses som en fejl: Det er godt, hvis lovene får virksomheder til at være mere på bolden om at lade os vide, hvornår et brud har fundet sted, men deres underliggende Målet bør være at lægge pres på virksomheder for at forhindre tab i første omgang.

Eksisterende love antager, at offentligheden og medierne vil afvise hvert brud og forårsage, at det berørte selskab får ram på sit omdømme. Men med 656 brud på et enkelt år er det en sikker indsats, at de fleste af dem ikke får meget varsel.

Foley mener, at med tilføjelse af nogle nødvendige opdateringer, som for eksempel at kræve, at alle overtrædelser rapporteres til statsadvokater Generelt, og at meddelelser til berørte forbrugere indeholder alle relevante tyveri og afhjælpningsoplysninger, vil de eksisterende databeskyttelseslove virke.

Jeg er ikke så sikker. Jeg erkender, at virksomheder er yderst ivrige efter at undgå det public relations-hit, de sandsynligvis vil lide efter en rapporteret overtrædelse - et punkt, som Chris Hoofnagle, direktør for Berkeley Center for Lov og Teknologi, informerer privatlivsprogrammer.

Men Hoofnagle påpeger også, at hvis vi virkelig bliver døde for at høre om flere og flere hændelser, vil nedfaldet ikke påvirke virksomheder næsten lige så meget. Hvis det er tilfældet, har vi sandsynligvis brug for lovgivningsmæssige tænder til at skubbe virksomheder til at håndtere vores data korrekt.

Uanset hvor forsigtigt vi er i at beskytte vores identiteter, er langt de fleste af vores følsomme data afholdt af virksomheder, som vi ikke har kontrol over. Disse virksomheder har brug for det rette incitament - eller trussel - at bekymre os om vores data så meget som vi gør.