Βασικά Takeaways
- Η FCC πρότεινε τρεις αλλαγές στη διαδικασία που ακολουθούν οι εταιρείες τηλεπικοινωνιών σε περίπτωση παραβίασης δεδομένων.
- Η FCC υποστηρίζει ότι οι προτάσεις γίνονται υπό το φως του εξελισσόμενου τοπίου ασφαλείας.
-
Εμπειρογνώμονες του κλάδου χαιρέτησαν την κίνηση υποστηρίζοντας ότι οι αλλαγές θα βοηθήσουν να γίνουν οι αποκαλύψεις πιο διαφανείς.
Εμπειρογνώμονες του κλάδου χαιρέτησαν μια πρόταση της Ομοσπονδιακής Επιτροπής Επικοινωνιών (FCC) για να υποχρεωθούν οι εταιρείες να κοινοποιούν λεπτομέρειες σχετικά με τυχόν παραβιάσεις δεδομένων με τους επηρεαζόμενους χρήστες χωρίς καθυστέρηση.
Η πρόταση που υποβλήθηκε από την Πρόεδρο της FCC Jessica Rosenworcel έρχεται υπό το φως των πρόσφατων παραβιάσεων δεδομένων και επιδιώκει να αναθεωρήσει τους ισχύοντες κανόνες δεδομένης της αυξημένης συχνότητας, της πολυπλοκότητας και της κλίμακας των διαρροών δεδομένων.
"Οι νέες προτάσεις της FCC είναι ένα βήμα προς τη σωστή κατεύθυνση", δήλωσε στο Lifewire μέσω email ο Jack Chapman, Αντιπρόεδρος του Threat Intelligence με τον προμηθευτή ασφαλείας Egress. "[Θα] ενισχύσουν την προστασία για τα υποκείμενα των δεδομένων και θα βελτιώσουν τη διαφάνεια μεταξύ των μεταφορέων, των καταναλωτών και της ίδιας της ρυθμιστικής αρχής, κάτι που θα συμβάλει στην υποστήριξη των δικαιωμάτων των υποκειμένων των δεδομένων στο τρέχον τοπίο απειλών."
Εξελισσόμενο τοπίο απειλών
Σύμφωνα με το δελτίο τύπου της FCC, οι προτεινόμενες ενημερώσεις στοχεύουν να φέρουν τους κανόνες που διέπουν τον κλάδο των τηλεπικοινωνιών στο ίδιο επίπεδο με τους νόμους που διέπουν τους άλλους τομείς.
Η ισχύουσα νομοθεσία απαιτεί ήδη από τους φορείς τηλεπικοινωνιών να προστατεύουν το απόρρητο και την ασφάλεια των ευαίσθητων πληροφοριών πελατών. Ωστόσο, αυτοί οι κανόνες χρειάζονται ενημέρωση για να αντικατοπτρίζουν πλήρως την εξελισσόμενη φύση των παραβιάσεων δεδομένων και την απειλή σε πραγματικό χρόνο που αποτελούν για τους επηρεαζόμενους καταναλωτές», σημείωσε ο Rosenworcel στην πρόταση.
Ο Chapman συμφωνεί, λέγοντας ότι οι ενημερώσεις ανταποκρίνονται στην πραγματικότητα ότι ο κλάδος των τηλεπικοινωνιών στοχοποιείται από ένα "παλιρροιακό κύμα εξελιγμένων επιθέσεων στον κυβερνοχώρο", αναφέροντας το παράδειγμα της T-Mobile, η οποία πρόσφατα υπέστη παραβίαση που αποκάλυψε τα δεδομένα πάνω από 50 εκατομμύρια πελάτες της.
Η πρόταση της FCC περιγράφει τρεις σημαντικές ενημερώσεις στους τρέχοντες κανόνες ειδοποίησης παραβίασης. Η πρώτη επιδιώκει να εξαλείψει την υποχρεωτική απαίτηση της περιόδου αναμονής επτά ημερών για την ειδοποίηση των πελατών για μια παραβίαση.
Με το επιχείρημα για την κατάργηση της περιόδου αναμονής, η Rosenworcel είπε ότι οι πελάτες πρέπει να προστατεύονται από διαρροές δεδομένων των οποίων οι συνέπειες μπορεί να διαρκέσουν χρόνια μετά την αρχική έκθεση.
Η διασφάλιση ότι αυτές οι επιχειρήσεις ανταποκρίνονται υπεύθυνα και γρήγορα σε οποιαδήποτε παραβίαση δεδομένων συμβάλλει στη δημιουργία μιας καλύτερης συλλογικής κουλτούρας απορρήτου και ασφάλειας δεδομένων…
Βλέποντας την αξία της κίνησης, ο Chapman είπε ότι εάν οι πελάτες ενημερωθούν για μια παραβίαση αμέσως και όχι περισσότερο από μια εβδομάδα αργότερα, μπορούν να είναι πιο προσεκτικοί σε επιθέσεις παρακολούθησης, όπως το phishing και το vishing. Πίστευε ότι αυτό είναι κρίσιμο και θα μπορούσε να βοηθήσει τους χρήστες να προστατευθούν από επιθέσεις που θα μπορούσαν να οδηγήσουν σε απώλεια περισσότερων δεδομένων.
"Με την εξάλειψη της επταήμερης περιόδου αναμονής για τις εταιρείες κινητής τηλεφωνίας να ειδοποιούν τους πελάτες για παραβίαση δεδομένων, η FCC επαναφέρει την ισχύ στα χέρια των ανθρώπων, βοηθώντας τους να λάβουν μέτρα για να προστατεύσουν τον εαυτό τους εάν τα δεδομένα τους έχουν παραβιαστεί παραβιάστηκε, "άποψε ο Τσάπμαν.
Προσδιορισμός ενοχής
Η FCC θέλει επίσης να επεκτείνει το εύρος της προστασίας των πελατών αναγκάζοντας τις εταιρείες να κοινοποιούν επίσης λεπτομέρειες σχετικά με τις "ακούσιες παραβιάσεις".
Αποκαλώντας την κίνηση "καλοδεχούμενο βήμα", ο Chapman είπε στο Lifewire ότι οι ακούσιες παραβιάσεις μπορεί να είναι εξίσου σοβαρές με τις επιθέσεις στον κυβερνοχώρο. Υποστήριξε ότι μόλις γίνει η ζημιά, δεν έχει μεγάλη διαφορά στους χρήστες εάν οι πληροφορίες τους κλάπηκαν μέσω πειρατείας δικτύου ή από έναν μη ασφαλή διακομιστή.
Η τρίτη αλλαγή που προτείνει η FCC καλεί την επηρεαζόμενη εταιρεία τηλεπικοινωνιών να ενημερώσει τα άτομα και την FCC, το FBI και τη μυστική υπηρεσία των ΗΠΑ.
Και πάλι, ο Chapman θεωρεί πλεονέκτημα της κίνησης και οι λόγοι που η χρήση σχοινιών σε άλλες ομοσπονδιακές υπηρεσίες θα μπορούσε να προσφέρει μακροπρόθεσμα οφέλη στους καταναλωτές ενισχύοντας τη ρυθμιστική απόκριση σε παραβιάσεις. Είπε ότι το μέτρο θα διασφαλίσει ότι η ρυθμιστική αρχή μπορεί να ανταποκριθεί πιο γρήγορα και αποτελεσματικά και θα συμβάλει στη διασφάλιση της σωστής επίπληξης των οργανισμών που ευθύνονται.
"Οι πάροχοι συλλέγουν έναν τεράστιο όγκο πληροφοριών για τους πελάτες τους, πολλές από τις οποίες αποτελούνται από ιδιωτικά και εξαιρετικά ευαίσθητα δεδομένα", δήλωσε στο Lifewire μέσω email ο Trevor J. Morgan, διευθυντής προϊόντων με ειδικούς σε θέματα ασφάλειας δεδομένων comforte AG. "Η διασφάλιση ότι αυτές οι επιχειρήσεις ανταποκρίνονται υπεύθυνα και γρήγορα σε οποιαδήποτε παραβίαση δεδομένων-σκόπιμη παραβίαση ή ακούσια διαρροή δεδομένων-βοηθά στη δημιουργία μιας καλύτερης συλλογικής κουλτούρας απορρήτου και ασφάλειας δεδομένων και παρεμπιπτόντως καλλιεργεί την εμπιστοσύνη του κοινού."