Public Greets Massive Data Breach With Collective Yawn

Op 20 januari, toen het grootste deel van de natie zich concentreerde op een historische inauguratie, erkende Heartland Payment Systems, een verwerkingsbedrijf voor creditcardbetalingen, dat gegevensdieven spyware op hun netwerk hadden geïnstalleerd om creditcardgegevens te stelen in 2008. Het bedrijf zegt dat het ongeveer 100 miljoen betalingen per maand verwerkt en nog niet weet hoeveel informatie is gestolen; de diefstal is misschien wel de grootste datalek ooit.

Maar kan het iemand echt iets schelen? Of beter gezegd, moet het iemand iets schelen?

Volgens de wetten in 44 staten moeten bedrijven het verlies of de diefstal van persoonlijke gegevens melden. Dergelijke wetten hebben ongetwijfeld aanleiding gegeven tot Heartland's openbaring op 2008breach.com. Maar honderden andere inbreuken gaan onopgemerkt voorbij aan de meeste consumenten. Hoewel bedoeld om bedrijven aan te sporen strenge beveiligingspraktijken te volgen om gevoelige gegevens te beveiligen, lijkt het erop dat de wetten hun doel niet bereiken.

Voorbeeld: The Identity Theft Re-source Center, een in San Diego gevestigde organisatie die gratis hulp biedt aan slachtoffers van identiteitsdiefstal, ontdekte dat het aantal gemelde datalekken steeg van 446 in 2007 naar 656 in 2008 - een stijging van 47 procent.

Jay Foley, de ITRC, is van mening dat het grootste deel van de stijging niet een feitelijke toename van het aantal schendingen is, maar eerder een toename in de rapportage ervan. Hoewel dat als een succes kan worden beschouwd voor de wetgeving inzake datalekken, kan het ook als een mislukking worden beschouwd: het is goed als bedrijven door de wetgeving meer op het spel worden gezet om ons te laten weten wanneer een inbreuk heeft plaatsgevonden, maar hun onderliggende Het doel zou moeten zijn om druk uit te oefenen op bedrijven om verliezen te voorkomen.

Bestaande wetten gaan ervan uit dat het publiek en de media elke inbreuk verwerpen en het getroffen bedrijf een hit naar zijn reputatie toebrengen. Maar met 656 inbreuken die in een enkel jaar plaatsvinden, is het een veilige gok dat de meeste van hen er niet veel op zullen letten.

Foley gelooft dat met de toevoeging van enkele noodzakelijke updates, zoals dat alle schendingen worden gemeld aan staatsparketten in het algemeen en dat meldingen aan getroffen consumenten alle relevante gegevens over diefstal en herstel bevatten, zullen de bestaande inbreuken op gegevens werken.

Ik weet het niet zo zeker. Ik erken dat bedrijven uiterst bezorgd zijn om de public relations te vermijden die ze waarschijnlijk zullen lijden als gevolg van een gemelde schending - een punt dat Chris Hoofnagle, directeur van het Berkeley Center for Law & Technology's programma's voor informatieprivacy, benadrukt.

Maar Hoofnagle wijst er ook op dat als we echt doodsangst zijn voor het horen van meer en meer incidenten, de gevolgen niet zozeer van invloed zullen zijn op bedrijven. Als dat het geval is, hebben we waarschijnlijk regelgevende tanden nodig om bedrijven te dwingen onze gegevens correct af te handelen.

Hoe zorgvuldig we onze identiteit ook beschermen, de overgrote meerderheid van onze gevoelige gegevens wordt bewaard door bedrijven waarover we geen controle hebben. Die bedrijven hebben de juiste prikkel - of bedreiging - nodig om net zo om onze gegevens te geven als wij.