طرح جریمه شرکت‌های اعتبارسنجی برای نقض داده

به گزارش کارگروه بین‌الملل سایبربان؛ شرکت‌های مالی بزرگ و آژانس‌های اعتبار سنجی، طبق قوانین معرفی شده در همین ماه به‌وسیله گروهی از قانون‌گذاران دموکرات در کنگره ایالات‌متحده، ملزم به پرداخت جریمه برای نقض داده‌هایشان می‌شوند.

قانون پیشگیری و جبران خسارت نقض داده‌ها، با الهام از حجم انبوه نقض اطلاعات در حادثه هک شرکت «Equifax» طی سال 2017، در دستور کار قانون‌گذاران آمریکایی قرار گرفته است. بر اساس این طرح، شرکت‌هایی که مورد تهاجم سایبری قرار گرفته و داده‌هایشان نقض شده است، باید حداقل 100 دلار به ازای هر کاربری که تأثیر حمله باشد، پرداخت کنند.

این مبلغ در حال حاضر 50 دلار است. این در حالی است که قانون‌گذاران در سال 2018 به طرحی مشابه لایحه اخیر، با مضمون افزایش 75 درصدی این جریمه، رأی منفی دادند.

الیزابت وارِن (Elizabeth Warren)، نماینده حزب دموکرات ماساچوست و یکی از حامیان اصلی این لایحه گفت که اگر این لایحه در زمان نقض Equifax، تصویب می‌شد، شرکت یاد شده با جریمه‌ای حداقل 1.5 میلیارد دلاری مواجه بود.

به عقیده بسیاری از کارشناسان، این لایحه برای محافظت از اطلاعات شخصی مشتریان در برابر نقض‌های شرکت‌ها مطرح شده است. نقض Equifax حدود 143 میلیون نفر از ساکنین ایالات‌متحده را تحت تأثیر قرار داد.

وارِن در بیانیه‌ای اعلام کرد:

حدود 2 سال از زمان به خطر افتادن اطلاعات حساس بیش از نیمی از بزرگ‌سالان کشور به‌وسیله Equifax در برابر هکرها می‌گذرد. لایحه ما به کاهش حداکثری امکان وقوع مجدد چنین حادثه‌ای می‌انجامد.

پس از معرفی لایحه به‌وسیله قانون‌گذاران، حامیان آن گزارشی در مورد مشکلات مرتبط با نقض Equifax منتشر کردند. بر اساس این گزارش، شمار شکایات مشتریان علیه شرکت از زمان وقوع این حادثه، رشد چشمگیری داشته است.

نماینده شرکت «Snowflake»، ارائه‌دهنده سرویس‌های مخزن داده‌های ابری، اخیراً در این مورد گفت که تعدادی از گروه‌های حفظ حریم خصوصی، این قانون را ستوده‌اند و به نظر می‌رسد مردم آمریکا از جریمه برای نقض اطلاعات حمایت می‌کنند؛ طبق نظرسنجی شرکت در ماه آوریل 2019، 63 درصد پاسخ‌دهندگان معتقدند که خسارات مالی مشتریان تحت تأثیر نقض اطلاعات از سوی شرکت جبران می‌شود و 62 درصد نیز گفته‌اند که شرکت مسئول نقض باید ازلحاظ مالی مجازات شود.

برای برخی ناظران این سؤال پیش آمد که چرا این لایحه فقط آژانس‌های گزارشگری مالی و اعتبار سنجی را هدف قرار داده است. مایکل مگرات (Michael Magrath)، مدیر مقررات و استانداردهای جهانی در «OneSpan»، فروشنده امنیت سایبری توضیح داد:

جمع‌آوریان اطلاعات و دیگر شرکت‌هایی که داده‌های شخصی را ذخیره می‌کنند، باید در برابر امنیت دارایی پاسخگو باشند. با این وجود، جداسازی آژانس‌های گزارشگری مالی قطعاً توجهات را به خود جلب می‌کند.

مگرات خاطرنشان کرد:

دیگر شرکت‌های دارای اطلاعات شخصی زیاد، از جمله شرکت‌های بیمه، ارائه‌دهندگان خدمات بهداشتی و سازمان‌های دولتی نیز نقض شده‌اند. این لایحه، باید تمام صنایع را در برگیرد و دیگر جریمه‌ها نیز باید عاملی برای محافظت در برابر سهل‌انگاری و عدم رعایت مقررات باشند.

دَن تاچلر (Dan Tuchler)، افسر ارشد بازاریابی در «SecurityFirst»، یکی دیگر از شرکت‌های فروشنده امنیت سایبری اظهار داشت:

جریمه 1.5 میلیارد دلاری برای Equifax می‌تواند شرکت را از گردونه تجارت خارج کند. آیا این کار به نفع مصرف‌کننده است؟ نویسندگان لایحه باید نگاه متفاوتی نسبت به سطح مجازات داشته باشند.

تاچلر گفت:

از جریمه‌ها به عنوان انگیزه‌ای برای شرکت‌ها در حفظ جدی حریم خصوصی حمایت می‌کنم. با این حال، هنوز مشخص نیست که چرا قانون‌گذاران تصمیم به جداسازی آژانس‌های گزارشگری مالی گرفته‌اند. ما رویکردی وسیع‌تر و متفکرانه‌تر برای شرکت‌هایی داریم که تا به حال نقض نداشته‌اند.

Equifax هنوز به اظهارنظرها در مورد این لایحه واکنش نشان نداده است؛ فرانسیس کریتون (Francis Creighton)، مدیرعامل گروه تجاری انجمن صنعت داده‌های مشتری معتقد است که آژانس‌های یاد شده نباید به تنهایی جریمه شوند.

کریتون خاطرنشان کرد:

ما می‌دانیم که نقش ویژه‌ای در اقتصاد داریم؛ اما جریمه‌های نقض داده باید روی تمام سازمان‌های نگهدارندِ اطلاعات مشتریان اعمال شوند.

این لایحه علاوه بر جریمه، یک اداره امنیت سایبری نیز در گروه تجارت فدرال ایجاد خواهد کرد و این اداره مجبور به انجام بازرسی‌های سالانه آژانس‌های گزارشگری مالی خواهد بود.