Cara memecahkan kode pemberitahuan pelanggaran data

Cara memecahkan kode pemberitahuan pelanggaran data

Cara memecahkan kode pemberitahuan pelanggaran data

 

Cara memecahkan kode pemberitahuan pelanggaran data

Cara memecahkan kode pemberitahuan pelanggaran data

Selama bertahun-tahun saya telah melihat ratusan, mungkin ribuan, pemberitahuan pelanggaran data yang memperingatkan bahwa data perusahaan hilang, dicuri, atau dibiarkan online agar diambil oleh siapa saja.

Sebagian besar dari mereka terlihat sama. Adalah tugas saya untuk menafsirkan makna sebenarnya bagi korban yang informasinya berisiko.

Pemberitahuan pelanggaran data dimaksudkan untuk memberi tahu Anda apa yang terjadi, kapan, dan apa dampaknya terhadap Anda. Anda mungkin sudah melihat beberapa tahun ini. Itu karena sebagian besar negara bagian AS memiliki undang-undang yang memaksa perusahaan untuk secara terbuka mengungkapkan insiden keamanan , seperti pelanggaran data, sesegera mungkin. Aturan Eropa lebih ketat , dan denda bisa menjadi kejadian umum jika pelanggaran tidak diungkapkan.

Tetapi pemberitahuan pelanggaran data telah menjadi latihan yang terlalu biasa dalam komunikasi krisis. Pemberitahuan ini semakin berusaha untuk mengelak dari kesalahan, mengaburkan detail-detail penting dan menghilangkan fakta-fakta penting. Bagaimanapun, itu adalah kepentingan terbaik perusahaan untuk menjaga pasar saham bahagia, investor puas dan regulator tidak mendukung mereka. Mengapa ia ingin mengatakan sesuatu yang bertentangan?

Lain kali Anda mendapatkan pemberitahuan pelanggaran data, baca yang tersirat. Dengan mengetahui garis omong kosong yang harus dihindari, Anda dapat memahami pertanyaan yang perlu Anda tanyakan.

“Kami menjaga keamanan dan privasi dengan serius.”
Baca: “Kami jelas tidak.”

Ungkapan yang sering ditampilkan dalam pemberitahuan pelanggaran data, kami pertama kali menulis tentang perusahaan yang menganggap keamanan dan privasi “serius” tahun lalu. Kami menemukan bahwa sekitar sepertiga dari semua pemberitahuan yang diajukan ke Jaksa Agung California pada 2019 memiliki beberapa variasi dari garis ini. Kenyataannya adalah sebagian besar perusahaan tidak menunjukkan belas kasihan atau kepedulian terhadap privasi atau keamanan data Anda, tetapi harus peduli untuk menjelaskan kepada pelanggan mereka bahwa data mereka dicuri. Itu adalah ungkapan kosong dan berlebihan yang tidak ada artinya.

“Kami baru-baru ini menemukan insiden keamanan …”
Baca: “Orang lain menemukannya tetapi kami berusaha melakukan pengendalian kerusakan.”

Kedengarannya cukup tidak berbahaya, tetapi itu adalah pernyataan penting untuk menjadi benar. Ketika sebuah perusahaan mengatakan bahwa mereka “baru saja menemukan” insiden keamanan, tanyakan siapa yang sebenarnya melaporkan insiden tersebut. Terlalu sering itu adalah seorang reporter – seperti saya – yang mengulurkan tangan untuk berkomentar karena seorang hacker menurunkan file yang berisi database pelanggan mereka dan sekarang perusahaan berusaha keras untuk mengambil kepemilikan atas insiden tersebut karena itu terlihat lebih baik daripada perusahaan yang berada dalam kegelapan.

“Seseorang yang tidak sah …”
Baca: “Kami tidak tahu siapa yang harus disalahkan, tetapi jangan salahkan kami.”

Ini adalah salah satu bagian yang paling diperdebatkan dari pemberitahuan pelanggaran data, dan itu bermuara pada pertanyaan sederhana: Siapa yang harus disalahkan atas insiden keamanan? Secara hukum, “akses tidak sah” berarti seseorang secara tidak sah membobol sistem, seringkali menggunakan kata sandi orang lain atau melewati layar masuk. Tetapi perusahaan sering melakukan kesalahan ini, atau tidak bisa – atau tidak mau – membedakan antara apakah suatu insiden berbahaya atau tidak. Jika suatu sistem diekspos atau dibiarkan online tanpa kata sandi, Anda akan menyalahkan perusahaan untuk kontrol keamanan yang lemah. Jika seorang peneliti keamanan yang beritikad baik menemukan dan melaporkan sistem yang tidak terlindungi, misalnya, tidak ada alasan untuk melukis mereka sebagai aktor jahat. Perusahaan senang mengalihkan kesalahan, jadi tetaplah berpikiran terbuka.

“Kami mengambil langkah segera …”
Baca: “Kami mulai bertindak … segera setelah kami tahu.”

Peretas tidak selalu terjebak dalam tindakan. Dalam banyak kasus, sebagian besar peretas sudah lama hilang saat

perusahaan mengetahui adanya pelanggaran. Ketika sebuah perusahaan mengatakan itu mengambil langkah segera, jangan menganggap itu dari saat pelanggaran. Equifax mengatakan “bertindak segera” untuk menghentikan intrusi, yang melihat peretas mencuri hampir 150 juta catatan kredit konsumen. Tapi peretas sudah berada di sistemnya selama dua bulan sebelum Equifax menemukan aktivitas mencurigakan. Yang benar-benar penting adalah kapan insiden keamanan dimulai; kapan perusahaan mengetahui insiden keamanan; dan kapan perusahaan memberi tahu regulator tentang pelanggaran tersebut?

“Investigasi forensik kami menunjukkan …”
Baca: “Kami meminta seseorang untuk memberi tahu kami bagaimana kami.”

Responden kejadian membantu memahami bagaimana intrusi atau pelanggaran data terjadi. Ini membantu perusahaan mengumpulkan asuransi cyber dan mencegah pelanggaran serupa terjadi lagi. Tetapi beberapa perusahaan menggunakan istilah “forensik” secara longgar. Investigasi internal tidak transparan atau akuntabel, dan hasilnya jarang diteliti atau dipublikasikan, sedangkan responden insiden adalah penilai independen dan berkualifikasi yang akan memberi tahu perusahaan apa yang perlu didengar dan bukan yang ingin didengar – bahkan jika temuan mereka masih tetap ada pribadi.

“Karena sangat berhati-hati, kami ingin memberi tahu Anda tentang insiden itu.”
Baca: “Kami terpaksa memberi tahu Anda.”

Jangan berpikir sedetik pun bahwa perusahaan melakukan “hal yang benar” dengan mengungkapkan insiden keamanan. Di

AS dan Eropa, perusahaan tidak diberi pilihan. Sebagian besar negara bagian memiliki beberapa bentuk undang-undang pemberitahuan pelanggaran data yang memaksa perusahaan untuk mengungkapkan insiden yang mempengaruhi sejumlah penduduk di atas. Gagal mengungkapkan pelanggaran dapat menyebabkan hukuman besar. Lihat saja Yahoo (yang, seperti TechCrunch, dimiliki oleh Verizon), yang didenda $ 35 juta pada tahun 2018 oleh regulator federal AS karena gagal mengungkapkan salah satu pelanggaran data yang melihat 500 juta akun pengguna dicuri.

“Serangan cyber yang canggih …”
Baca: “Kami berusaha untuk tidak terlihat sebodoh yang sebenarnya.”

Hanya karena sebuah perusahaan mengatakan itu terkena serangan cyber “canggih” bukan berarti itu. Ini hiperbola,

dirancang untuk berfungsi sebagai pernyataan “tutupi pantat Anda” untuk mengecilkan insiden keamanan. Yang benar-benar memberitahu Anda adalah bahwa perusahaan tidak tahu bagaimana serangan itu terjadi. Bagaimanapun, beberapa pelanggaran terbesar dalam sejarah terjadi karena sistem yang tidak ditambal , kata sandi yang lemah atau karena seseorang mengklik email berbahaya.

“Tidak ada bukti bahwa data diambil.”
Baca: “Yang kita ketahui.”

“Tidak ada bukti” tidak berarti bahwa sesuatu belum terjadi, itu belum terlihat. Entah perusahaan itu tidak terlihat cukup keras atau tidak tahu. Bahkan jika sebuah perusahaan mengatakan “tidak ada bukti” bahwa data dicuri, ada baiknya menanyakan bagaimana sampai pada kesimpulan itu.

“Sebagian kecil dari pelanggan kami terpengaruh.”
Baca: “Kedengarannya jauh lebih buruk jika kita mengatakan ‘jutaan’ pengguna.”

Lain kali Anda melihat pemberitahuan pelanggaran data yang mengatakan hanya sebagian kecil pelanggan yang terpengaruh oleh pelanggaran, luangkan waktu sebentar untuk memikirkan apa artinya itu. Houzz mengakui pelanggaran data pada Januari 2019, di mana dikatakan “beberapa data pengguna kami” diambil. Beberapa bulan kemudian, seorang hacker memposting 57 juta catatan pengguna Houzz. Last.fm yang dimiliki CBS juga mengatakan pada 2012 bahwa “beberapa” kata sandinya dicuri karena melanggar. Ini kemudian sebesar 43 juta password. Jika sebuah perusahaan tidak memberi tahu Anda berapa banyak orang yang terpengaruh, itu karena mereka tidak tahu – atau mereka tidak ingin Anda mengetahuinya.

Baca Juga: