Umum Menyusul Pelecehan Data Besar-besaran Dengan Collective Yawn

Pada tanggal 20 Januari, karena sebagian besar bangsa berfokus pada pelantikan bersejarah, Heartland Payment Systems, sebuah perusahaan pemrosesan pembayaran kartu kredit, mengakui bahwa pencuri data telah memasang spyware di jaringannya untuk mencuri rincian kartu kredit sepanjang 2008. Perusahaan mengatakan ia menangani sekitar 100 juta pembayaran dalam sebulan, dan belum tahu berapa banyak informasi yang dicuri; pencurian itu mungkin merupakan pelanggaran data terbesar yang pernah ada.

Tapi apakah ada yang benar-benar peduli? Atau lebih tepatnya, harus ada yang peduli?

Undang-undang pelanggaran data di 44 negara mengharuskan perusahaan untuk melaporkan kehilangan atau pencurian data pribadi, dan undang-undang tersebut tidak diragukan lagi mendorong wahyu Heartland di 2008breach.com. Tetapi ratusan pelanggaran lainnya berlalu tanpa disadari oleh sebagian besar konsumen. Meskipun dimaksudkan untuk memacu perusahaan untuk mengikuti praktik keamanan yang kuat untuk melindungi data sensitif, hukum tampaknya tidak mencapai tujuan mereka.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Contoh kasus: The Identity Theft Re-source Center, sebuah organisasi yang berbasis di San Diego yang memberikan bantuan gratis kepada korban pencurian identitas, menemukan bahwa jumlah pelanggaran data yang dilaporkan melonjak dari 446 pada tahun 2007 menjadi 656 pada tahun 2008 - peningkatan sebesar 47 persen.

Jay Foley dari ITRC percaya bahwa sebagian besar peningkatan itu tidak mencerminkan peningkatan yang sebenarnya dalam pelanggaran, melainkan peningkatan dalam pelaporannya. Meskipun hal itu dapat dilihat sebagai keberhasilan untuk pelanggaran data undang-undang, itu juga dapat dilihat sebagai kegagalan: Ini baik jika undang-undang semakin membuat perusahaan menjadi lebih pada bola tentang membiarkan kita tahu ketika pelanggaran telah terjadi, tetapi mendasari mereka Tujuannya harus memberi tekanan pada perusahaan untuk mencegah kerugian di tempat pertama.

Undang-undang yang ada mengasumsikan bahwa publik dan media akan mengutuk setiap pelanggaran dan menyebabkan perusahaan yang terkena dampak terpukul untuk reputasinya. Tetapi dengan 656 pelanggaran terjadi dalam satu tahun, itu adalah taruhan yang aman bahwa kebanyakan dari mereka tidak akan mendapatkan banyak pemberitahuan.

Foley percaya bahwa dengan penambahan beberapa pembaruan yang diperlukan, seperti mengharuskan semua pelanggaran dilaporkan kepada pengacara negara bagian. umum dan bahwa pemberitahuan kepada konsumen yang terpengaruh berisi semua rincian pencurian dan remediasi yang bersangkutan, undang-undang pelanggaran data yang ada akan berfungsi.

Saya tidak begitu yakin. Saya mengakui bahwa perusahaan sangat ingin menghindari hantaman hubungan masyarakat yang mungkin mereka alami setelah pelanggaran yang dilaporkan - sebuah titik yang dikemukakan oleh Chris Hoofnagle, direktur pusat informasi Berkeley Law & Technology, menekankan.

Tapi Hoofnagle juga menunjukkan bahwa jika kita benar-benar mati untuk mendengar tentang semakin banyak insiden, kejatuhan tidak akan mempengaruhi perusahaan hampir sama banyaknya. Jika itu yang terjadi, kita mungkin perlu pengaturan gigi untuk mendorong perusahaan untuk menangani data kita dengan benar.

Tidak peduli seberapa hati-hati kita dalam melindungi identitas kita, sebagian besar data sensitif kita dipegang oleh perusahaan yang tidak dapat kita kendalikan.. Perusahaan-perusahaan tersebut membutuhkan insentif yang tepat - atau ancaman - untuk peduli terhadap data kami sebanyak yang kami lakukan.