Clau per emportar
- La FCC ha proposat tres canvis al procediment que segueixen les empreses de telecomunicacions en cas d'incompliment de dades.
- La FCC afirma que les propostes es fan a la llum de l'evolució del panorama de la seguretat.
-
Els experts del sector han acollit la mesura argumentant que els canvis ajudaran a que les revelacions siguin més transparents.
Els experts del sector han rebut amb satisfacció una proposta presentada per la Comissió Federal de Comunicacions (FCC) per obligar les empreses a compartir informació sobre qualsevol incompliment de dades amb els usuaris afectats sense demora.
La proposta de la presidenta de la FCC, Jessica Rosenworcel, surt a la llum de les infraccions de dades recents i pretén revisar les regles actuals donada l'augment de la freqüència, la sofisticació i l'escala de les filtracions de dades.
"Les noves propostes de la FCC són un pas en la direcció correcta", va dir a Lifewire per correu electrònic Jack Chapman, vicepresident de Threat Intelligence amb el proveïdor de seguretat Egress. "[Ells] reforçaran la protecció dels subjectes de dades i milloraran la transparència entre els operadors, els consumidors i el mateix regulador, cosa que hauria d'ajudar a donar suport als drets dels subjectes de dades en el panorama actual d'amenaces."
Paisatge d'amenaça en evolució
Segons el comunicat de premsa de la FCC, les actualitzacions proposades tenen l'objectiu d'apropar les normes que regeixen la indústria de les telecomunicacions a les lleis que regeixen els altres sectors.
"La llei actual ja exigeix que els operadors de telecomunicacions protegeixin la privadesa i la seguretat de la informació sensible dels clients. Però aquestes regles s'han d'actualitzar per reflectir plenament la naturalesa evolutiva de les infraccions de dades i l'amenaça en temps real que suposen per als consumidors afectats ", va assenyalar Rosenworcel a la proposta..
Chapman està d'acord, dient que les actualitzacions aborden la realitat que la indústria de les telecomunicacions està sent objectiu d'una "onada de ciberatacs sofisticats", citant l'exemple de T-Mobile, que recentment va patir una violació que va exposar les dades de més de 50 milions dels seus clients.
La proposta de la FCC descriu tres actualitzacions significatives de les regles actuals de notificació d'incompliments. El primer pretén eliminar el requisit obligatori del període d'espera de set dies per notificar als clients una infracció.
Discutint per eliminar el període d'espera, Rosenworcel va dir que els clients han d'estar protegits contra les fuites de dades les conseqüències de les quals poden durar anys després de l'exposició inicial.
Garantir que aquestes empreses responguin de manera responsable i ràpida a qualsevol violació de dades ajuda a crear una millor cultura col·lectiva de privadesa i seguretat de les dades…
Vent el mèrit de la mudança, Chapman va dir que si els clients s'informaven d'una violació immediatament en lloc d'una setmana més tard, poden estar més atents als atacs de seguiment, com ara el phishing i el vishing. Creia que això és fonamental i podria ajudar els usuaris a protegir-se dels atacs que podrien fer que els usuaris perdessin més dades.
"En eliminar el període d'espera de set dies perquè els operadors notifiquen als clients una violació de dades, la FCC torna a posar el poder en mans de les persones, ajudant-les a prendre mesures per protegir-se si les seves dades han estat violat", va opinar Chapman.
Determinació de la culpa
La FCC també vol ampliar l'abast de la protecció del client obligant les empreses a compartir també detalls sobre "incompliments inadvertits".
En anomenar el moviment un "pas de benvinguda", Chapman va dir a Lifewire que les infraccions inadvertides podrien ser tan greus com els ciberatacs. Va argumentar que un cop fet el dany, els usuaris no tenen gaire diferència si la seva informació va ser robada mitjançant un pirateig de xarxa o des d'un servidor insegur.
El tercer canvi proposat per la FCC demana a l'empresa de telecomunicacions afectada que notifiqui les persones i la FCC, l'FBI i el Servei Secret dels EUA.
Un cop més, Chapman veu el mèrit de la mesura i els motius pels quals la corda a les altres agències federals podria proporcionar beneficis a llarg termini als consumidors en reforçar la resposta normativa a les infraccions. Va dir que la mesura garantiria que el regulador pugui respondre de manera més ràpida i eficaç i ajudaria a garantir que les organitzacions culpables siguin recriminades adequadament.
"Els operadors recullen una quantitat enorme d'informació sobre els seus clients, gran part de dades privades i molt sensibles", va dir a Lifewire per correu electrònic Trevor J. Morgan, gerent de producte dels especialistes en seguretat de dades comforte AG. "Assegurar que aquestes empreses responguin de manera responsable i ràpida a qualsevol pirateria intencionada per violació de dades o filtració de dades inadvertida ajuda a crear una millor cultura col·lectiva de privadesa i seguretat de les dades i, de fet, nodreix la confiança pública."
