Public Greets Massive Data Breach with Collective Yawn

Il 20 gennaio, mentre la maggior parte della nazione si concentrava su un'inaugurazione storica, Heartland Payment Systems, una società di elaborazione dei pagamenti con carta di credito, ha riconosciuto che i ladri di dati avevano installato spyware sulla sua rete per rubare i dati della carta di credito per tutto il 2008. La società dice che gestisce circa 100 milioni di pagamenti al mese e non sa ancora quante informazioni sono state rubate; il furto potrebbe essere la più grande violazione di dati mai realizzata.

Ma a qualcuno importa davvero? O meglio, dovrebbe interessare qualcuno?

Le leggi sulla violazione dei dati in 44 stati richiedono alle aziende di segnalare la perdita o il furto di dati personali, e tali leggi hanno indubbiamente spinto la rivelazione di Heartland a 2008breach.com. Ma centinaia di altre violazioni passano inosservate dalla maggior parte dei consumatori. Sebbene sia inteso a spronare le aziende a seguire forti pratiche di sicurezza per salvaguardare i dati sensibili, le leggi non sembrano raggiungere il loro scopo.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Caso in questione: L'Identity Theft Re-source Center, un'organizzazione con sede a San Diego che fornisce assistenza gratuita alle vittime di furti di identità, ha rilevato che il numero di violazioni dei dati segnalati è passato da 446 nel 2007 a 656 nel 2008 - un aumento del 47%.

L'ITRC, Jay Foley, ritiene che la maggior parte dell'aumento non rifletta un effettivo aumento delle violazioni, ma piuttosto un aumento nella segnalazione di tali violazioni. Anche se questo può essere considerato un successo per le leggi sulla violazione dei dati, può anche essere visto come un fallimento: è positivo se le leggi stanno facendo in modo che le aziende siano più informate su come farci sapere quando si è verificata una violazione, ma il loro sottostante L'obiettivo dovrebbe essere quello di fare pressione sulle aziende per prevenire le perdite, in primo luogo.

Le leggi vigenti presuppongono che il pubblico e i media decreteranno ogni violazione e inducano la società interessata a colpire la sua reputazione. Ma con 656 violazioni che si verificano in un solo anno, è una scommessa sicura che la maggior parte di loro non riceverà molto preavviso.

Foley ritiene che con l'aggiunta di alcuni aggiornamenti necessari, come richiedere che tutte le violazioni siano segnalate agli avvocati dello stato generale e che le notifiche ai consumatori interessati contengano tutti i dettagli relativi al furto e alle riparazioni, le leggi sulla violazione dei dati esistenti funzioneranno.

Non ne sono così sicuro. Riconosco che le aziende sono estremamente ansiose di evitare i colpi di pubbliche relazioni che potrebbero subire in seguito a una violazione segnalata - un punto che sottolinea Chris Hoofnagle, direttore dei programmi di privacy delle informazioni di Berkeley Center for Law & Technology.

Ma Hoofnagle sottolinea inoltre che, se siamo davvero decisi a sentir parlare di un numero sempre maggiore di incidenti, le ricadute non influenzeranno le aziende quasi altrettanto. In tal caso, è probabile che abbiamo bisogno di normative per spingere le aziende a gestire correttamente i dati.

Indipendentemente da quanto siamo attenti a proteggere la nostra identità, la maggior parte dei nostri dati sensibili è detenuta da società sulle quali non abbiamo alcun controllo. Quelle aziende hanno bisogno del giusto incentivo - o minaccia - per preoccuparsi dei nostri dati tanto quanto noi.