Bài học rút ra chính
- FCC đã đề xuất ba thay đổi đối với quy trình mà các công ty viễn thông tuân theo trong trường hợp vi phạm dữ liệu.
- FCC cho rằng các đề xuất được đưa ra dựa trên bối cảnh an ninh đang phát triển.
-
Các chuyên gia trong ngành đã hoan nghênh động thái lập luận rằng những thay đổi sẽ giúp công bố thông tin minh bạch hơn.
Các chuyên gia trong ngành đã hoan nghênh một đề xuất do Ủy ban Truyền thông Liên bang (FCC) đưa ra nhằm buộc các công ty chia sẻ thông tin chi tiết về bất kỳ vi phạm dữ liệu nào với những người dùng bị ảnh hưởng ngay lập tức.
Đề xuất do Chủ tịch FCC Jessica Rosenworcel đưa ra dựa trên những vi phạm dữ liệu gần đây và tìm cách đại tu các quy tắc hiện tại do tần suất, mức độ phức tạp và quy mô của các vụ rò rỉ dữ liệu ngày càng tăng.
"Các đề xuất mới của FCC là một bước đi đúng hướng", Jack Chapman, Phó chủ tịch của Threat Intelligence của nhà cung cấp bảo mật Egress, nói với Lifewire qua email. "[Họ sẽ] tăng cường bảo vệ các chủ thể dữ liệu và cải thiện tính minh bạch giữa các nhà cung cấp dịch vụ, người tiêu dùng và chính cơ quan quản lý, điều này sẽ giúp hỗ trợ quyền của các chủ thể dữ liệu trong bối cảnh mối đe dọa hiện nay."
Bối cảnh Đe doạ Đang phát triển
Theo thông cáo báo chí của FCC, các bản cập nhật được đề xuất nhằm mục đích đưa các quy tắc quản lý ngành viễn thông ngang bằng với luật điều chỉnh các lĩnh vực khác.
"Luật pháp hiện hành đã yêu cầu các nhà cung cấp dịch vụ viễn thông bảo vệ quyền riêng tư và bảo mật thông tin nhạy cảm của khách hàng. Nhưng những quy tắc này cần được cập nhật để phản ánh đầy đủ bản chất đang phát triển của vi phạm dữ liệu và mối đe dọa trong thời gian thực mà chúng gây ra cho những người tiêu dùng bị ảnh hưởng ", Rosenworcel lưu ý trong đề xuất.
Chapman đồng ý, nói rằng các bản cập nhật giải quyết thực tế rằng ngành công nghiệp viễn thông đang bị nhắm mục tiêu bởi "làn sóng tấn công mạng tinh vi", trích dẫn ví dụ về T-Mobile, gần đây đã bị một vụ vi phạm làm lộ dữ liệu của 50 triệu khách hàng của mình.
Đề xuất của FCC đưa ra ba cập nhật quan trọng đối với các quy tắc thông báo vi phạm hiện tại. Đầu tiên tìm cách loại bỏ yêu cầu bắt buộc về thời gian chờ bảy ngày để thông báo cho khách hàng về vi phạm.
Lập luận về việc loại bỏ thời gian chờ đợi, Rosenworcel cho biết khách hàng cần được bảo vệ khỏi rò rỉ dữ liệu mà hậu quả có thể kéo dài nhiều năm sau lần tiếp xúc đầu tiên.
Đảm bảo rằng các doanh nghiệp này phản ứng nhanh chóng và có trách nhiệm đối với bất kỳ vi phạm dữ liệu nào giúp tạo ra một văn hóa tập thể tốt hơn về quyền riêng tư và bảo mật dữ liệu…
Nhìn thấy lợi ích trong động thái này, Chapman nói rằng nếu khách hàng được thông báo về vi phạm ngay lập tức thay vì hơn một tuần sau đó, họ có thể cảnh giác hơn với các cuộc tấn công tiếp theo, chẳng hạn như lừa đảo và lừa đảo trực tuyến. Anh ấy tin rằng điều này rất quan trọng và có thể giúp người dùng tự bảo vệ mình trước các cuộc tấn công có thể khiến người dùng mất nhiều dữ liệu hơn.
"Bằng cách loại bỏ thời gian chờ đợi bảy ngày để các nhà cung cấp dịch vụ thông báo cho khách hàng về vi phạm dữ liệu, FCC đang trao quyền trở lại cho người dân, giúp họ thực hiện các bước để tự bảo vệ mình nếu dữ liệu của họ bị bị vi phạm, "Chapman nói.
Xác định Tội lỗi
FCC cũng muốn mở rộng phạm vi bảo vệ khách hàng bằng cách buộc các công ty chia sẻ thông tin chi tiết về "vi phạm vô ý".
Gọi động thái này là "bước chào mừng", Chapman nói với Lifewire rằng các vi phạm vô ý có thể nghiêm trọng như các cuộc tấn công mạng. Ông lập luận rằng một khi thiệt hại được thực hiện, người dùng sẽ không có sự khác biệt rất nhiều cho dù thông tin của họ bị đánh cắp thông qua một cuộc tấn công mạng hay từ một máy chủ không an toàn.
Thay đổi thứ ba mà FCC đề xuất kêu gọi công ty viễn thông bị ảnh hưởng thông báo cho các cá nhân và FCC, FBI và Sở Mật vụ Hoa Kỳ.
Một lần nữa, Chapman nhận thấy công lao trong động thái này và lý do tại sao việc chuyển sang các cơ quan liên bang khác có thể mang lại lợi ích lâu dài hơn cho người tiêu dùng bằng cách tăng cường phản ứng theo quy định đối với các hành vi vi phạm. Ông cho biết biện pháp này sẽ đảm bảo rằng cơ quan quản lý có thể phản ứng nhanh chóng và hiệu quả hơn và giúp đảm bảo các tổ chức có lỗi sẽ bị khiển trách thích đáng.
"Các nhà cung cấp dịch vụ thu thập một lượng lớn thông tin về khách hàng của họ, phần lớn bao gồm dữ liệu riêng tư và rất nhạy cảm", Trevor J. Morgan, giám đốc sản phẩm của các chuyên gia bảo mật dữ liệu của comforte AG, nói với Lifewire qua email. "Đảm bảo rằng các doanh nghiệp này phản ứng một cách có trách nhiệm và nhanh chóng trước bất kỳ hành vi tấn công có chủ đích hoặc cố ý làm rò rỉ dữ liệu nào - giúp tạo ra một nền văn hóa tập thể tốt hơn về quyền riêng tư và bảo mật dữ liệu, đồng thời vô tình nuôi dưỡng lòng tin của công chúng."