président Obama a présenté lundi une proposition qui obligerait les entreprises à informer leurs clients d’une violation de données dans les 30 jours suivant la découverte que leurs informations ont été piratées. Mais en fonction de ce qui est inclus et exclu de toute législation de mise en œuvre, l’effort pourrait bien conduire à une divulgation plus volumineuse mais moins utile. Voici quelques réflexions sur la façon dont une loi fédérale sur les infractions pourrait produire des avis moins nombreux mais plus significatifs qui pourraient en fait aider à prévenir de futures infractions.
Le plan vise à unifier près de quatre douzaines de lois étatiques disparates sur la divulgation des violations de données en une seule norme fédérale. Mais comme les experts cités dans cette histoire à partir de le New York Times notez à juste titre que beaucoup dépend du fait qu’une loi fédérale sur la divulgation des violations soit ou non une loi de base qui permet aux États d’adopter des normes plus strictes.
Par exemple, à l’heure actuelle, sept États ont déjà des lois sur la divulgation dites « au chronomètre », certaines plus strictes ; Le Connecticut exige que les compagnies d’assurance informent au plus tard cinq jours après la découverte d’une violation ; La Californie a des exigences similaires pour les fournisseurs de soins de santé. En outre, au moins 14 États et le district de Columbia ont des lois qui permettent aux consommateurs concernés de poursuivre une entreprise en dommages-intérêts à la suite d’une violation. De plus, de nombreux États définissent différemment les « informations personnelles » et ont donc des déclencheurs différents pour ce qui oblige une entreprise à divulguer. Pour une excellente ventilation des différentes lois sur la divulgation des violations de données, voir cette analyse par BoulangerHôtelier (PDF).
Laissant de côté la question importante de la préemption fédérale, j’aimerais voir une discussion ici et ailleurs sur une exigence qui oblige les entreprises à divulguer comment ils ont été violés. Naturellement, nous ne nous attendrions pas à ce que les entreprises divulguent les technologies spécifiques qu’elles utilisent dans un document public sur les violations. De plus, les cabinets de criminalistique appelés à enquêter ne sont pas toujours en mesure d’identifier avec précision la cause ou la source de la violation.
Mais ces informations pourraient être partagées publiquement en temps opportun lorsqu’elles sont disponibles, et anonymisées de manière appropriée. Il est regrettable que, bien que nous ayons entendu parler à maintes reprises de violations de cartes de crédit dans des établissements de vente au détail, nous en sachions très peu sur la façon dont ces organisations ont été violées en premier lieu. Une obligation de partager le « comment » du piratage lorsqu’il est connu et anonymisé par l’industrie serait utile.
Je veux également aborder la question du cryptage. De nombreux experts en sécurité insistent sur le fait qu’il devrait y avoir une exclusion qui permettrait aux entreprises d’éviter les exigences de divulgation dans une violation qui expose des données sensibles correctement cryptées (c’est-à-dire que les intrus n’ont pas également réussi à voler la clé privée nécessaire pour décrypter les données) . Bien qu’une adoption plus large du chiffrement puisse aider à réduire l’impact des violations, cette exception est déjà incluse sous une forme ou une autre dans presque les quatre douzaines de lois sur la divulgation des violations de données des États, et elle ne semble pas avoir réduit la fréquence des alertes de violation.
Je soupçonne qu’il y a plusieurs raisons à cela. La plus évidente est que peu d’organisations victimes d’une violation chiffrent leurs données sensibles, ou qu’elles le font de manière négligente (en exposant la clé de chiffrement, par exemple). En outre, la plupart des États ont également des dispositions dans leurs lois sur la divulgation des violations qui exigent une analyse du «risque de préjudice» qui oblige l’organisation victime à déterminer si la violation est raisonnablement susceptible d’entraîner un préjudice (tel que le vol d’identité) pour le consommateur concerné.
Ceci est important car bon nombre de ces violations sont le résultat de voleurs pénétrant dans une base de données de sites Web et dérobant des mots de passe, et dans de trop nombreux cas, les mots de passe volés ne sont pas cryptés mais plutôt «hachés» à l’aide d’un outil relativement faible et facile à déchiffrer. approche telle que MD5 ou SHA-1. Pour une bonne ventilation de base sur la différence entre le chiffrement des données et leur hachage, consultez ce post. Aussi, pour une introduction sur des alternatives beaucoup plus sécurisées aux hachages cryptographiques, voir mon interview de 2012 avec Thomas Ptacekcomment les entreprises peuvent renforcer la sécurité des mots de passe.
Tant que nous traiterons de lois pour aider les entreprises à renforcer leur sécurité, j’aimerais beaucoup voir une sorte d’approche législative qui comprend des moyens d’inciter davantage d’entreprises à déployer une authentification à deux facteurs et en deux étapes – pas seulement pour leur clients, mais tout aussi crucial (sinon plus) pour leurs employés.
PROMESSES DE CONFIDENTIALITÉ
Le président Obama a également déclaré qu’il proposerait la Loi sur la protection des données des étudiants, qui, selon The Times, interdirait aux entreprises technologiques de profiter des informations collectées dans les écoles alors que les enseignants adoptent les tablettes, les services en ligne et les logiciels connectés à Internet. L’histoire a également noté que le président vantait les accords volontaires des entreprises pour protéger les données énergétiques et fournir un accès facile aux cotes de crédit des consommateurs. Alors que les Américains peuvent, en vertu de la loi, obtenir une copie gratuite de leur rapport de solvabilité auprès de chacun des trois principaux bureaux de crédit une fois par an – à rapportannueldecredit.com — la plupart des consommateurs doivent encore payer pour voir leurs cotes de crédit.
Ces changements seraient les bienvenus, mais ils sont bien en deçà des types de révisions dont nous avons besoin pour les lois sur la protection de la vie privée dans ce pays, dont certaines ont été rédigées dans les années 1980 et sont même antérieures à l’avènement de la technologie de navigation Web. Comme je l’ai longuement discuté sur ce blog, le Congrès a cruellement besoin de mettre à jour le Loi sur la protection des communications électroniques (ECPA), la loi de 1986 qui a été conçue à l’origine pour protéger les Américains de Big Brother et des excès du gouvernement. Malheureusement, la loi est aujourd’hui si obsolète qu’elle offre en fait une couverture juridique aux sorte de dépassement, il a été conçu pour empêcher. Pour en savoir plus sur les efforts visant à modifier le statu quo, voir digitaldueprocess.org.
De plus, j’aimerais voir une discussion plus large sur les propositions de confidentialité qui couvrent ce que les entreprises peuvent et ne doivent pas faire avec toutes les données biométriques qu’elles collectent auprès des consommateurs. Les entreprises trébuchent sur elles-mêmes pour collecter des tonnes de ces données potentiellement très sensibles auprès des consommateurs, et pourtant nous n’avons toujours pas de principes de base qui disent ce que les entreprises peuvent faire avec ces informations, combien elles peuvent collecter, comment elles peuvent les collecter ou les partager, ou comment ils protégeront ces informations.
Il existe une poignée d’exceptions au niveau de l’État; Lire la suite ici). Mais dans l’ensemble, nous manquons vraiment de protections de base pour ces informations, et les consommateurs les donnent tous les jours sans se rendre pleinement compte qu’il n’y a pratiquement aucune norme fédérale sur ce qui peut ou doit être fait avec ces informations.
Pour en revenir au sujet du cryptage : compte tenu du peu d’entreprises qui font du cryptage des données clients l’approche par défaut, il est décourageant de voir des éléments de cette administration critiquer les entreprises pour cela. Il y a probablement une grande confrontation entre les principaux acteurs mobiles et les enquêteurs fédéraux sur le cryptage. Apple et Google décision récente d’introduire le cryptage des données par défaut et irrévocable sur tous les appareils alimentés par leurs derniers systèmes d’exploitation a suscité des appels de la communauté des forces de l’ordre américaines pour une législation qui obligerait les fournisseurs de téléphonie mobile à autoriser les responsables de l’application des lois à contourner cette sécurité dans les enquêtes criminelles.
En octobre, James Comey, directeur du FBI fait appel aux géants du mobile pour vider leurs nouvelles politiques de chiffrement. La semaine dernière, j’ai pris la parole lors d’une conférence à New York où le panel avant mon discours était une allocution du principal procureur de New York, qui a déclaré qu’il était travailler avec des législateurs anonymes pour élaborer de nouvelles exigences légales. La semaine dernière, le sénateur Ron Wyden (D-Ore.) a réintroduit un projet de loi cela empêcherait le gouvernement d’exiger des entreprises technologiques qu’elles mettent en place un accès soi-disant « par porte dérobée » à leurs données pour les forces de l’ordre.
Cette tension se fait également sentir de l’autre côté de l’Atlantique : le Premier ministre britannique David Cameron a aussi promis de nouvelles lois antiterroristes qui donnent aux services de sécurité britanniques la possibilité de lire les communications cryptées sur les appareils mobiles.