Конгрессу США предлагают смягчить закон о раскрытии утечек персональных данных
Компании смогут сами решать, насколько серьезна атакаВ обе палаты конгресса США за последние месяцы было внесено несколько предложений о смягчении закона, обязывающего компании публиковать информацию о случаях несанкционированного проникновения в их компьютерные системы. Законопроекты позволяют компаниям самим решать, насколько серьезно скомпрометированы пользовательские данные. Если риск кражи или фальсификации данных велик, компания должна будет оперативно сообщить об этом, если же инцидент не нарушает интересов клиентов, считают авторы законопроектов, то информировать об атаке не обязательно.
В случае принятия нового закона он будет иметь приоритет перед действующими законами отдельных штатов, многие из которых требуют, чтобы компании оповещали клиентов о любых фактах несанкционированного доступа к персональным данным. «Клиентов будут информировать значительно реже, – говорит Джералд Фергюсон, адвокат из юридической фирмы Baker & Hostetler, занимающейся, в частности, консультациями по вопросам защиты персональной информации. – У компаний появится возможность провести анализ рисков финансового ущерба. Появится свобода выбора».
Конгрессмен от штата Теннесси Марша Блэкберн внесла один из законопроектов в конгресс в апреле. «Она считает, что при чрезмерном информировании снижается ценность действительно важной информации, – говорит представитель Блэкберн. – Вместо того чтобы сигнализировать о каждом случае взлома, целесообразнее сфокусироваться на том, что по-настоящему затрагивает интересы потребителей, т. е. на краже персональных данных и мошенничестве, связанном с платежными операциями».
По данным исследования, проведенного в прошлом году по инициативе IBM, компании в среднем тратят по $145 на каждую запись, скомпрометированную в результате взлома. Часто такие инциденты приводят к подаче исков, на улаживание которых уходят долгие годы.
Ущерб от масштабной хакерской атаки может быть огромным. Взлом компьютерных систем корпорации Target в 2013 г. стоил ей нескольких миллионов долларов – хакеры получили доступ к данным 40 млн банковских карт ее клиентов. О таких взломах компании должны будут сообщать даже в случае принятия предложенных законопроектов. Однако многие юристы, занимающиеся вопросами конфиденциальности данных, считают, что компании должны все тщательно проанализировать, прежде чем публиковать информацию о взломе.
Требования законов разных штатов США по раскрытию информации о взломе разнородны, их соблюдение обходится дорого. К тому же необходимость взаимодействия с прокурорами разных штатов замедляет принятие необходимых ответных мер. Авторы законопроектов хотят отказаться от этой неудобной схемы так, чтобы компании, подвергшейся взлому, пришлось взаимодействовать лишь с Федеральной комиссией по торговле. «Бизнес сильно выиграет от сокращения числа требований, – говорит Дарен Оржеховски, юрист из White & Case. – Компаниям не нужно будет копаться во множестве томов с законами, можно будет заниматься непосредственно проблемой взлома. Если выяснится, что атака не создала значительных рисков и не нанесла реального ущерба, то и широкомасштабное оповещение о ней не потребуется, а компании не придется нести расходы».
WSJ, 3.05.2015, Александр Силонов