Key takeaways
- FCC har föreslagit tre ändringar av den procedur som telekomföretag följer i händelse av ett dataintrång.
- FCC hävdar att förslagen är gjorda i ljuset av det föränderliga säkerhetslandskapet.
-
Industriexperter har välkomnat flytten och hävdar att förändringarna kommer att bidra till att göra avslöjandena mer transparenta.
Industriexperter har välkomnat ett förslag som lagts fram av Federal Communications Commission (FCC) för att tvinga företag att dela information om eventuella dataintrång med de berörda användarna utan dröjsmål.
Förslaget som flyttades av FCC:s ordförande Jessica Rosenworcel kommer i ljuset av de senaste dataintrång och syftar till att se över de nuvarande reglerna med tanke på den ökade frekvensen, sofistikeringen och omfattningen av dataläckorna.
"FCC:s nya förslag är ett steg i rätt riktning", sa Jack Chapman, VP of Threat Intelligence hos säkerhetsleverantören Egress, till Lifewire via e-post. "[De kommer] att stärka skyddet för registrerade personer och förbättra transparensen mellan operatörer, konsumenter och själva tillsynsmyndigheten, vilket borde bidra till att stödja de registrerades rättigheter i det nuvarande hotbilden."
Evolving Threat Landscape
Enligt FCC:s pressmeddelande syftar de föreslagna uppdateringarna till att de regler som styr telekommunikationsindustrin ska likställas med lagar som reglerar andra sektorer.
"Nuvarande lag kräver redan att teleoperatörer skyddar integriteten och säkerheten för känslig kundinformation. Men dessa regler behöver uppdateras för att till fullo återspegla den föränderliga karaktären av dataintrång och det re altidshot de utgör för berörda konsumenter", noterade Rosenworcel i förslaget.
Chapman håller med och säger att uppdateringarna adresserar verkligheten att telekomindustrin är måltavla av en "flodvåg av sofistikerade cyberattacker", med hänvisning till exemplet T-Mobile, som nyligen drabbades av ett intrång som avslöjade data från över 50 miljoner av sina kunder.
FCC:s förslag beskriver tre betydande uppdateringar av de nuvarande reglerna för meddelanden om överträdelse. Den första syftar till att eliminera det obligatoriska kravet på sju dagars vänteperiod för att meddela kunder om ett brott.
Rosenworcel argumenterade för att ta bort vänteperioden och sa att kunder måste skyddas mot dataläckor vars konsekvenser kan vara flera år efter den första exponeringen.
Att säkerställa att dessa företag reagerar ansvarsfullt och snabbt på alla dataintrång hjälper till att skapa en bättre kollektiv kultur av datasekretess och säkerhet…
Chapman såg fördelen med flytten och sa att om kunderna blir medvetna om ett intrång omedelbart snarare än mer än en vecka senare, kan de vara mer vaksamma på uppföljande attacker, som nätfiske och vishing. Han trodde att detta är avgörande och kan hjälpa användare att skydda sig mot attacker som kan leda till att användare förlorar mer data.
"Genom att eliminera den sju dagar långa väntetiden för operatörer att meddela kunder om ett dataintrång, lägger FCC tillbaka makten i händerna på människorna och hjälper dem att vidta åtgärder för att skydda sig själva om deras data har blivit brutit mot, " menade Chapman.
Bestämma skuld
FCC vill också utöka omfattningen av kundskyddet genom att tvinga företag att dela detaljer om "oavsiktliga intrång" också.
Chapman kallade flytten för ett "välkomststeg", sa till Lifewire att oavsiktliga intrång kan vara lika allvarliga som cyberattacker. Han hävdade att när skadan väl är skedd gör det liten skillnad för användarna om deras information stals via ett nätverkshack eller från en osäker server.
Den tredje ändringen som FCC föreslog uppmanar det berörda telekommunikationsföretaget att meddela individerna och FCC, FBI och US Secret Service.
Återigen, Chapman ser fördelar i flytten och skälen till att rop inom de andra federala myndigheterna skulle kunna ge konsumenterna fördelar på längre sikt genom att stärka regleringsresponsen på överträdelser. Han sa att åtgärden skulle säkerställa att tillsynsmyndigheten kan reagera snabbare och mer effektivt och hjälpa till att säkerställa att organisationer som begått fel blir korrekt tillrättavisade.
"Bärare samlar in en enorm mängd information om sina kunder, mycket av den består av privata och mycket känsliga data", sa Trevor J. Morgan, produktchef hos datasäkerhetsspecialisterna comforte AG, till Lifewire via e-post. "Att säkerställa att dessa företag reagerar ansvarsfullt och snabbt på alla dataintrång avsiktligt hack eller oavsiktlig dataläcka hjälper till att skapa en bättre kollektiv kultur av dataintegritet och säkerhet, och för övrigt främjar allmänhetens förtroende."
