どのくらい待たされるの。長すぎる
もしあなたのデータが漏洩したことを知らせるメールを受け取ったことがないのであれば、あなたは幸運だと思ってください。私は過去5年間に3つのメールを受け取っています(そのうちの1つは先週のうちに受け取っています)。どれも同じで、個人情報の漏洩についての謝罪文が丁寧に書かれています。
多くの場合、違反が発見されてから数ヶ月後に通知が来ます。漏洩が発覚した企業は最初の数週間から数ヶ月をかけてシステムの安全性を確保し、訴訟や緩和のための最善の行動方針について弁護士、警察、役員会などに相談します。次に、すべての情報を再収集し、セキュリティを再構成することに時間を費やします。そして最終的に、あなたに通知されます。このプロセスには数ヶ月かかります。
アイダホ州バノック郡の場合、8ヶ月かかっています。2020年6月、バノック郡の裁判所は、12州の1,500人に影響を与えるデータ漏洩の犠牲者となった。先週、郡はファイルに登録されている住所を持つ人々への通知の郵送を開始した。
この時間軸を見てみると、期間が長すぎるのかという疑問が湧いてきます。
反響
個人データの盗難に関する通知は、その深刻さを軽視しようとしています。多くの場合、漏洩したデータが使用されたと思われる理由はないと伝えています。しかし、それをどのように調査したり、追跡することができるのでしょうか?
情報が漏洩したことを知らずに8ヶ月(または4ヶ月、1年)が経過した後、あなたはその影響を受けた可能性のあるすべての出来事をさかのぼって調べることはできません。あなたのクレジットカード信用力は15ポイント下がりましたか?フィッシングメールが受信箱に増えましたか?銀行やクレジットカードから異常な行為があったことを知らされましたか?迷惑電話を受けることが増えましたか?
これらのすべてが、これらデータ漏洩による結果である可能性もあれば、いずれもない可能性もあります。しかし、あなたが遭遇する問題は、すべての事象を遡って調べることができないということです。調査することは不可能であり、侵害された企業はそれを望んでいます。
企業、教育機関、または政府機関は、あなたの ID 窃盗の責任を負いたくありません。彼らはすでに問題を解決するためにお金を使っていますが、その上に訴訟を起こしたくないのは確かです。
恥・不名誉
イライラして、すぐに情報を発信して欲しいと要求してしまいがちです。誤解しないでいただきたいのですが、そうあるべきだとは思いますが、情報漏洩した組織が長期間にわたって秘密にしておく理由があります。
攻撃を取り巻く汚名があるからだ。不満を抱えた従業員が企業情報にアクセスした場合でも、ランサムウェア攻撃を受けた場合でも、被害者はお互いを非難し合うことがよくあります。バンノック郡のような組織を指して、個人情報の流出に怒りを覚えるのは簡単です。
前述したように、組織は揺り戻しに対処したくないのです。これが、ほとんどの組織が混乱を発表するために、すべてが正常に動作するようになるまで待つ大きな理由です。「これまでずっと何も起きていなかったのに」と言う方が、「おい、今はあなたの身元を監視しなければならない」と言うよりも簡単なのです。
ヒューマンエラー
データ漏洩の汚名には重みがあります。ほとんどの場合、人為的なミスが原因です。技術的な知識の乏しい従業員が、フィッシングメールのリンクをクリックしたり、添付ファイルを開いた可能性があります。パスワードの変更が予定通りに行われなかったのかもしれません。管理者が元従業員の資格情報を無効にするのを忘れていたかもしれません。しかし、何が原因でドアが開かれたにせよ、ほとんどの場合は個人のミスが原因です。
ほとんどすべてのセキュリティ侵害が人為的なミスによるものだとは断言できない、と反論する人がいるでしょう。その人は正しいでしょう。私には確信が持てません。そしてそれは、セキュリティが侵害されたときの透明性が不足していることがほとんどだからです。
透明化革命
現在、セキュリティ関連のイベントに関する規制はほとんどありません。内部データ侵害であれ、有名なマルウェアによるランサムウェア攻撃であれ、その後に何をすべきかについてのガイドラインはありません。すべては組織の裁量に委ねられています。
ヨーロッパでは、身代金を支払うことは違法であるべきだという議論もあります。他の問題として、身代金を支払うことは、犯罪者にとってランサムウェアという考えをより魅力的なものにするだけです。また、攻撃の秘密性をさらに高めることにもなります。
ビットコインの非合法化を求める声もあります。ビットコインは規制されておらず、犯罪者が好む支払い方法であるため、非合法化により支払い能力がなくなるからだという。(これは素晴らしい解決策ではありません。1,600以上の形態の暗号通貨があり、ビットコインを停止しても他のもので代替されるでしょう)。
多くの人が、セキュリティ、セキュリティトレーニング、保護の基準の増加を提唱しています。私もこの電車に乗っています。どのようなテーマでも、実際に有効な教育を受ければ受けるほど、それに対処するための装備を整えることができるようになります。セキュリティの強化は決して悪い考えではありません。
具体的な内容については、頭が真っ白になるまで議論することができますが、一つだけ同意すべきことは透明性の向上です。透明性の向上とともに、これらのイベントが発生したときに、危険にさらされた実際の人々に通知するための厳格な時間軸が必要になります。それが出発点です。
人間は観察を通して学びます。何が起こっているのかわからないのであれば、学ぶことはできません。それが攻撃が発生したときに設置されていたセキュリティ・システムの内部の仕組みであっても、個人情報が漏洩する可能性があるかどうかを監視しなければならないという知識であっても、すべては詳細を知ることに帰着します。セキュリティ侵害を防ぐには、透明性の確保が鍵となります。
知らないものは知らない
日に日に少しずつ良くなってきています。私たちは少しずつ学んでいます。このサイトにあるコラムの定期的な読者であれば、フィッシングを見抜くためのヒントをいくつか知っているはずです。また、個人情報の安全性も向上しています。学べば学ぶほど、より安全になります。
しかし、わからないことはわからない。違反が発生してから人に通知するまでの時間軸が長いと、後戻りができません。それが私たちのハードルです。私たちは、組織が人々に通知するまでの期間を義務づける規制を推進しなければなりません。機密情報のより良い管理を要求するのは私たち次第なのです。
会話に参加してください。PC Maticのソーシャルアカウントにアクセスして、データ侵害に関する経験や、アメリカの安全性を高めるためのアイデアについて話してください。
