Według nowych badań powiadomienia, które firmy wysyłają konsumentom o naruszeniach bezpieczeństwa danych, są niejasne i mogą zwiększać dezorientację klientów co do tego, czy ich dane są zagrożone.

Opierając się na swoich wcześniejszych badaniach, które wykazały, że konsumenci często podejmują niewiele działań w obliczu naruszeń bezpieczeństwa, badacze przeanalizowali powiadomienia o naruszeniu danych wysyłane przez firmy do konsumentów, aby sprawdzić, czy komunikacja może być odpowiedzialna za niektóre z tych bezczynności.

Odkryli, że 97 procent ze 161 wybranych powiadomień było trudne lub dość trudne do odczytania w oparciu o wskaźniki czytelności, a użyty w nich język mógł przyczynić się do nieporozumień co do tego, czy odbiorca komunikatu jest zagrożony i powinien podjąć działania.

„W przypadku większości firm te powiadomienia są postrzegane tylko jako wymóg przestrzegania przepisów dotyczących powiadamiania o naruszeniu danych…”

„Nasza analiza pokazuje, że wymaganie od firm na mocy prawa, aby same wysyłały powiadomienia o naruszeniu danych, nie jest wystarczające”, mówi Yixin Zou, doktorant z University of Michigan.

„Ważne jest, aby zapewnić, że ważne informacje, takie jak to, co się stało i co konsumenci powinni zrobić, aby się chronić, są przekazywane w tych powiadomieniach w sposób zrozumiały i możliwy do podjęcia przez konsumentów”.

Powołując się na statystyki z Privacy Rights Clearinghouse, autorzy zauważają, że w 2017 r. doszło do naruszenia 853 danych, które skompromitowały 2.05 miliarda rekordów, które obejmowały nazwiska konsumentów, dane kontaktowe kont, dane karty kredytowej, numery ubezpieczenia społecznego, rejestry zakupów i zakupów, media społecznościowe posty i wiadomości oraz kartoteki zdrowotne.

W odpowiedzi większość krajów, w tym Stany Zjednoczone, przyjęło przepisy dotyczące powiadamiania o naruszeniu danych. W Stanach Zjednoczonych każdy stan ma własne prawo dotyczące naruszenia danych, co oznacza, że ​​próg, w którym firmy muszą powiadomić konsumentów, jak szybko po naruszeniu muszą wysłać powiadomienia i jak to powiadomienie musi wyglądać, różni się w zależności od stanu.

„Firmy mają niewielką motywację do inwestowania w zwiększanie użyteczności powiadomień o naruszeniu danych”.

Daje to firmom dużą swobodę w stosowaniu terminów zabezpieczających, które pomniejszają ryzyko — używając w 70 procentach powiadomień zwrotów takich jak „może to dotyczyć” i „prawdopodobnie może to dotyczyć” i mówiąc „w tej chwili nie mamy dowodów na to, że dane są niewłaściwie wykorzystywane” w 40 procentach przypadków.

Naukowcy twierdzą, że pozwala to również na brak konsekwencji w rozwiązywaniu przyczyn naruszenia, daty wystąpienia i czasu ekspozycji.

„Firmy mają niewielką motywację do inwestowania w zwiększanie użyteczności powiadomień o naruszeniu danych” — mówi Florian Schaub, adiunkt w School of Information.

„W przypadku większości firm te powiadomienia są postrzegane jedynie jako wymóg przestrzegania przepisów dotyczących powiadamiania o naruszeniu danych, a nie jako sposób na edukację i ochronę swoich klientów. Musimy ponownie przemyśleć i zmienić przepisy dotyczące ochrony konsumentów, takie jak te, aby upewnić się, że powiadomienia firm są rzeczywiście przydatne dla konsumentów” – mówi Schaub.

Większość przepisów stanowych wymaga od firm powiadamiania dotkniętych nimi konsumentów pisemnymi listami lub telefonicznie. E-maile, ogłoszenia na stronach internetowych, powiadomienia do mediów stanowych lub inne metody elektroniczne są zwykle substytutami. Badanie pokazuje spójny wzorzec, w którym 95 procent analizowanych powiadomień jest dostarczanych pocztą. Naukowcy twierdzą, że mała prędkość wysyłania listu może wydłużyć czas, w którym konsumenci pozostaną nie poinformowani o naruszeniu.

Naukowcy podzielili się swoją pracą na konferencji CHI poświęconej czynnikom ludzkim w informatyce w Glasgow w Szkocji.

Źródło: University of Michigan

Powiązane książki

at Rynek wewnętrzny i Amazon