Siber güvenlik alanında uzun bir kariyere sahip olmak beni aynı alana dahil olmaktan alıkoymuyor veri ihlalleri ve kitlesel istemsiz tüketici bilgilerinin açıklanması herkes gibi. Ve herkes gibi ben de muhtemelen yeterince yıllarca “ücretsiz” kredi izleme biriktirdim ve ölümüm üzerine bunun bir kısmı çocuklarıma aktarılabilir – belki torunlarıma da bir miktar kalır.
Kredi izlemenin faydalı olmadığı söylenemez; en büyük faydalardan biri, ihlallerin sıklığına daha fazla ışık tutan Dark Web’deki verilerin tespitidir. Bir ihlalden sonra elde edilen ücretsiz kredi takibim sayesinde, şirketin bana bildirimde bulunmasından çok önce, farklı bir şirkette yeni bir ihlalin meydana geldiğini belirten verilerimin Dark Web’de göründüğü konusunda bilgilendirildim.
Geçen yıl, Amerikalıların üçte birinden fazlası banka veya kredi kartlarında dolandırıcılık suçlamaları, e-posta veya sosyal medya hesaplarının ele geçirilmesi veya kendi adlarına bir kredi limiti açma veya kredi alma yönünde sahtekarlık girişimiyle karşılaştı. Pew Araştırma Merkezi.
İhlaller yavaşlayacak gibi görünmüyor. Kimlik Hırsızlığı Kaynak Merkezi 2023’te bir önceki yıla göre %78 daha fazla ihlal yaşandığını bildirdi. Her yıl yüz milyonlarca kurban var.
Kesinlikle kimsenin umrunda değilmiş gibi geliyor. Hisse senedi fiyatlarının büyük bir kırılmanın ardından toparlandığı doğrudur ve her seferinde daha hızlı toparlanıyor gibi görünmektedir. Wall Street tüketicilerin o kadar da umursamadığını varsayıyor olmalı ama bunun uzun süre devam edeceğini düşünmüyorum. Tüketiciler çaresiz hissedebilir, hatta umutsuz bile hissedebilirler ama kesinlikle umursuyorlar. Harekete geçmeye başlarlarsa ekonomi bunu hissedecektir.
Veri ihlallerinin sayısından endişe duyan çoğu Amerikalı tüketici, kredilerini dondurmak gibi basit bir eyleme geçmeye karar verirse ne olabileceğini bir düşünün. Aniden borçlanma yeteneğinin kaldırılması genel olarak ekonomi için muhtemelen daha sağlıklı olurdu, ancak bu “işler için iyi değil” ve birçok sektörü, özellikle de perakendeyi önemli ölçüde olumsuz etkileyebilir. Bu gerçekçi değil. Sadece birkaç yıl önce, kredinin dondurulması ve çözülmesi biraz zahmetli bir işti. Bugün kredi bürosu başına sadece birkaç dakika sürüyor.
Bu nedenle belki de şirketlerin ifşa mağdurlarına biraz daha iyi davranması ve mağdur yaratmamak için daha fazlasını yapması gerekiyor.
Aşağıda bazı fikirler var.
İhlalden Önce
En azından kişisel sağlık bilgilerini veya kişisel olarak tanımlanabilir bilgileri internetten erişilebilen veritabanlarında tutan şirketlerin bir hata ödül programı olması gerekir. Hata ödül programları Serbest çalışan güvenlik araştırmacılarının şirketleri “hackleyerek” ve süreçte buldukları güvenlik açıklarını sorumlu bir şekilde ifşa ederek para kazanmalarına izin verin. Açık bir program olmadan, bu araştırmacılara yalnızca doğru şeyi yapmaları karşılığında herhangi bir ödül garanti edilmekle kalmaz, aynı zamanda kendilerine karşı yasal işlem başlatılmasına karşı güvenli bir liman da garanti edilmez.
Ayrıca en azından belirli büyüklükteki şirketlerin güvenlik sertifikalarını alıp paylaşmaları da mantıklıdır. Şu anda bu sertifikalar isteğe bağlıdır. Sonunda hükümet düzenlemeleri bunu değiştirebilir. Ancak şimdilik endüstri düzenlemelerinin dizginleri eline alması gerekecek. Mağaza kredi kartları sunan perakende mağazalar gibi herhangi bir şekilde ücretsiz tüketici kredisine güvenen işletmeler, özellikle güvenlik sertifikalarına dikkat etmeli ve bu sertifikalara sahip olmayan üçüncü taraflarla çalışma konusunda dikkatli olmalıdır.
Bir İhlalden Sonra
İhlallerin sayısı kesinlikle olduğundan daha düşük olmalıdır, ancak büyük bir güvenlik olsa bile ihlaller meydana gelebilir ve yine de meydana gelecektir. İhlalden sonra önemli olan etkilenen tüketicileri korumak ve onlara hakaret etmemektir.
İşletmelerin yapması gereken ilk şey, ifşa etme oyunlarını hızlandırmak ve müşterilere, verilerinin ele geçirildiğini daha zamanında bildirmektir. Aldı Sağlık Hizmetini Değiştir Bana, ihlal edilen verilere dahil olduğumu bildiren bir bildirim mektubu göndermem altı ay sürdü, ancak bunun aylar önce gerçekleştiğinin zaten kesinlikle farkındaydım. Gecikmenin amacı neydi?
Daha sonra şirketlerin ücretsiz kredi takibinden daha fazlasını yapması gerekiyor. Kredi izleme öyle değerlidir, ancak tüketici tarafında reaktif bir güvenliktir. Mağdurlara ücretsiz şifre yönetimi hizmetlerine erişim hakkı vermek onlara proaktif bir araç sağlayacaktır.
Ancak şirketlerin nispeten ucuz başka bir hizmet sunması, şirketlerin güvenliğe şu anda olduklarından daha fazla öncelik vermelerine neden olacak kadar sıkıntı yaratmayacaktır. Bu endüstri düzenlemeleri ile ilgili olarak, sertifikasyon, ihlal durumunda mağdurlara doğrudan olay başına kişi başına 5 ila 50 ABD Doları arasında bir ödeme yapılmasına ilişkin bir anlaşmaya bağlı olmalıdır.
Şirketin iyi bir güvenliği varsa ve uygun kontrollerin uygulandığına dair kanıt varsa, daha az ödeyeceklerdir. Uyumlu olduğu belirlenen ve görünürde saygın bir şirketin ağır ihmalkar olduğu tespit edilirse, bu durumda yalnızca bu şirketin her tüketiciye daha yüksek bir miktar ödemesi gerekmez, aynı zamanda sertifikasyon kuruluşunun da mağdurlara ödeme yapması gerekir. Bu ekstra anlaşma, sertifika verenlerin sağladığı genel değeri artıracaktır çünkü ödeme yapmak isteyen herhangi bir şirketin kör sertifikasyon almasını engeller.
Müşteri verilerinin büyük ihlallerine karşı şeffaf olmayan, ucuz ve yavaş tepki veren şirketlerin yanına güneş batıyor. Bireysel şirketler ve tüm sektörler, müşteri verilerini koruma ve başarısız olduklarında doğru olanı yapma sorumluluğunu üstlenmelidir.