Γιατί οι εταιρείες στέλνουν σύγχυση ειδοποιήσεων σχετικά με παραβιάσεις δεδομένων

Οι ειδοποιήσεις ότι οι εταιρείες στέλνουν στους καταναλωτές σχετικά με παραβιάσεις δεδομένων στερούνται σαφήνειας και ενδέχεται να προκαλέσουν σύγχυση στους πελάτες σχετικά με το εάν τα δεδομένα τους διατρέχουν κίνδυνο, σύμφωνα με νέα έρευνα.

Με βάση την προηγούμενη έρευνά τους που έδειξε ότι οι καταναλωτές συχνά λαμβάνουν ελάχιστα μέτρα όταν αντιμετωπίζουν παραβιάσεις ασφαλείας, οι ερευνητές ανέλυσαν τις κοινοποιήσεις ειδοποιήσεων παραβίασης δεδομένων που στάλθηκαν στους καταναλωτές για να διαπιστώσουν εάν οι επικοινωνίες μπορεί να ευθύνονται για κάποια απραξία.

Διαπίστωσαν ότι το 97 τοις εκατό από τις 161 ειδοποιήσεις του δείγματος ήταν δύσκολο ή αρκετά δύσκολο να διαβαστούν με βάση μετρήσεις αναγνωσιμότητας και ότι η γλώσσα που χρησιμοποιείται σε αυτές μπορεί να συνέβαλε στη σύγχυση σχετικά με το αν ο παραλήπτης της επικοινωνίας κινδυνεύει και πρέπει να αναλάβει δράση.

"Για τις περισσότερες εταιρείες, αυτές οι ειδοποιήσεις θεωρούνται μόνο ως απαίτηση συμμόρφωσης με τους νόμους ειδοποιήσεων για παραβίαση δεδομένων ..."

«Η ανάλυσή μας δείχνει ότι η απαίτηση από εταιρείες βάσει νόμου να στέλνουν ειδοποιήσεις παραβίασης δεδομένων από μόνη της δεν είναι αρκετή», λέει η Yixin Zou, διδακτορική φοιτήτρια στο Πανεπιστήμιο του Μίσιγκαν.

εσωτερικά εγγραφείτε γραφικό

"Είναι σημαντικό να διασφαλιστεί ότι οι σημαντικές πληροφορίες, όπως αυτό που συνέβη και τι πρέπει να κάνουν οι καταναλωτές για να προστατευθούν, κοινοποιούνται σε αυτές τις ειδοποιήσεις με τρόπο κατανοητό και ενεργό από τους καταναλωτές."

Επικαλούμενοι στατιστικά στοιχεία από το Privacy Rights Clearinghouse, οι συγγραφείς σημειώνουν ότι το 2017 παραβιάστηκαν 853 δεδομένα που έβλαψαν 2.05 δισεκατομμύρια αρχεία, τα οποία περιελάμβαναν ονόματα καταναλωτών, αριθμούς λογαριασμών στοιχείων επικοινωνίας, στοιχεία πιστωτικών καρτών, αριθμούς κοινωνικής ασφάλισης, αρχεία αγορών και αγορών, κοινωνικά μέσα δημοσιεύσεις και μηνύματα και αρχεία υγείας.

Σε απάντηση, οι περισσότερες χώρες, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, υιοθέτησαν νόμους κοινοποίησης παραβίασης δεδομένων. Στις ΗΠΑ, κάθε πολιτεία έχει τη δική της νομοθεσία για την παραβίαση δεδομένων, πράγμα που σημαίνει ότι το όριο για το πότε οι εταιρείες πρέπει να ειδοποιούν τους καταναλωτές, πόσο σύντομα μετά από μια παράβαση πρέπει να στέλνουν ειδοποιήσεις και πώς πρέπει να μοιάζει αυτή η ειδοποίηση διαφέρει μεταξύ των κρατών.

"Υπάρχει ελάχιστο κίνητρο για τις εταιρείες να επενδύσουν για να κάνουν πιο χρήσιμες τις ειδοποιήσεις παραβίασης δεδομένων."

Αυτό δίνει μεγάλη ελευθερία στις εταιρείες να χρησιμοποιούν όρους αντιστάθμισης που μειώνουν τον κίνδυνο - χρησιμοποιώντας φράσεις όπως "μπορεί να επηρεαστείτε" και "πιθανότατα θα επηρεαστείτε" στο 70 τοις εκατό των ειδοποιήσεων και λέγοντας "προς το παρόν, δεν έχουμε αποδεικτικά στοιχεία δεδομένα κατάχρηση »40 τοις εκατό του χρόνου.

Επιτρέπει επίσης την έλλειψη συνέπειας στην αντιμετώπιση της αιτίας της παραβίασης, της ημερομηνίας εμφάνισης και του χρόνου έκθεσης, λένε οι ερευνητές.

"Υπάρχει ελάχιστο κίνητρο για τις εταιρείες να επενδύσουν στο να κάνουν πιο χρήσιμες τις ειδοποιήσεις παραβίασης δεδομένων", λέει ο Florian Schaub, επίκουρος καθηγητής στη Σχολή Πληροφοριών.

«Για τις περισσότερες εταιρείες, αυτές οι ειδοποιήσεις θεωρούνται μόνο ως απαίτηση συμμόρφωσης με τους νόμους ειδοποιήσεων για παραβίαση δεδομένων και όχι ως τρόπος εκπαίδευσης και προστασίας των πελατών τους. Πρέπει να επανεξετάσουμε και να επανεξετάσουμε τους νόμους περί προστασίας των καταναλωτών όπως αυτοί για να διασφαλίσουμε ότι οι ειδοποιήσεις των εταιρειών είναι πραγματικά χρήσιμες για τους καταναλωτές », λέει ο Schaub.

Οι περισσότεροι κρατικοί νόμοι απαιτούν από τις εταιρείες να ειδοποιούν τους επηρεαζόμενους καταναλωτές με γραπτές επιστολές ή τηλεφωνικά. Τα μηνύματα ηλεκτρονικού ταχυδρομείου, οι ανακοινώσεις ιστότοπων, οι ειδοποιήσεις σε κρατικά μέσα ενημέρωσης ή άλλες ηλεκτρονικές μέθοδοι είναι συνήθως υποκατάστατα. Η μελέτη δείχνει ένα σταθερό μοτίβο με το 95 τοις εκατό των αναλυόμενων ειδοποιήσεων να αποστέλλονται μέσω ταχυδρομείου. Οι ερευνητές λένε ότι η αργή ταχύτητα μιας ταχυδρομικής επιστολής μπορεί να αυξήσει τον χρόνο που οι καταναλωτές παρέμειναν ενήμεροι για την παραβίαση.

Οι ερευνητές μοιράστηκαν το έργο τους στο συνέδριο CHI για τους ανθρώπινους παράγοντες στον υπολογισμό στη Γλασκώβη της Σκωτίας.

πηγή: Πανεπιστήμιο του Michigan

Σχετικά βιβλία

at InnerSelf Market και Amazon