Federal İletişim Komisyonunda önerilen bir kural değişikliği, iletişim taşıyıcıları için veri ihlali tanımını genişletecektir. Ajans tarafından onaylanırsa, kural, müşterilere zarar vermese bile müşteri bilgilerinin gizliliğini etkileyen her türlü olayı kapsayacaktır.
“Bu [rule] araç [communications] Capgemini grubunun bir parçası olan Sogeti’de veri varlığı modernizasyonu portföy lideri Venkat Gupta, “İhlal kasıtsız olsa veya kötü niyetli olmasa bile, taşıyıcıların müşteri bilgilerine yetkisiz erişimi veya ifşasını bildirmesi gerekecek” diyor. “Herkes umursamalı çünkü veriler İhlaller birçok farklı şekilde gerçekleşebilir ve kasıtsız ihlaller bile ciddi sonuçlar doğurabilir.”
FCC şunları söyledi: kural değişikliği diğer endüstri sektörlerini kapsayan federal ve eyalet veri ihlali yasalarındaki son gelişmelerle uyumludur.
FCC Başkanı Jessica Rosenworcel yaptığı açıklamada, “Yasa, taşıyıcıların hassas tüketici bilgilerini korumasını gerektiriyor, ancak veri sızıntılarının sıklığı, karmaşıklığı ve ölçeğindeki artış göz önüne alındığında, tüketicileri korumak ve raporlama gerekliliklerini güçlendirmek için kurallarımızı güncellememiz gerekiyor” dedi. hazırlanmış açıklama. “Bu yeni işlem, tüketicileri daha iyi korumak, güvenliği artırmak ve gelecekteki ihlallerin etkisini azaltmak için veri ihlali raporlama kurallarımıza çok ihtiyaç duyulan ve yeni bir bakış getirecek.”
FCC ve Tüketicilere Raporlama
Gupta, mevcut kurala göre, telekomünikasyon taşıyıcılarının, müşteriye özel ağ bilgilerini (CPNI) içeren tüm ihlalleri yedi iş günü içinde federal yasa uygulayıcılara – ABD Gizli Servisi ve FBI’a – bildirmesi gerektiğini ve taşıyıcıların etkilenen tüketicileri bu tür olaylardan haberdar edebileceğini söylüyor. ihlalleri, bu kurumlara bildirdikten yedi gün sonra.
Önerilen kural güncellemesi, taşıyıcıların bir ihlalin keşfedilmesinden sonra mümkün olan en kısa sürede FCC’yi kanun uygulayıcı kurumlarla eşzamanlı olarak bilgilendirmesini gerektirir ve kanun uygulayıcıya bildirimde bulunma ile tüketiciyi bilgilendirme arasındaki mevcut yedi günlük bekleme süresini ortadan kaldırır.
Wilmer Cutler Pickering Hale ve Dorr LLP (WilmerHale) hukuk firmasında kıdemli bir ortak olan Ali Jessani, düzenlemeyi güncelleme teşvikinin bir kısmının, FCC’nin ihlal tanımını daha geniş yapacaksa, şirketler siber güvenlik politikalarını yeniden değerlendirecek ve ilk etapta ihlalleri önlemek için prosedürler.
Bir cep telefonu hesabına bireysel saldırı gibi bir veri ihlali meydana geldiğinde, saldırganlar bu saldırıdan birkaç saat veya dakika içinde para kazanabilir. Jessani, böyle bir saldırının “bildirim kuralının tam olarak var olmasının nedeni budur – tüketiciye kişisel bilgilerinin tehlikeye atılmasındaki olası zararı sınırlama yeteneği vermek” diyor. Bununla birlikte, taşıyıcının bu tür ihlalleri hemen yetkililere bildirebileceği konusunda uyarıyor, ancak kolluk kuvvetleri, soruşturma için kanıtları korumak amacıyla taşıyıcıdan aynı anda müşteriyi uyarmamasını isterse, güncellenen kural şirketi korumaya devam ediyor. .
Gupta, gecikmenin taşıyıcıların, etkilenen müşteri sayısı ve güvenliği ihlal edilen bilgilerin türü dahil olmak üzere ihlalin kapsamını ve etkisini değerlendirmesine olanak tanıdığını belirterek aynı fikirde. “Bu bilgi, ihlale uygun yanıtı belirlemek ve müşterilere olası zararı değerlendirmek için önemlidir. Bekleme süresi, taşıyıcıların ihlalin etkilerini hafifletmek ve daha fazla hasarı önlemek için gerekli adımları atmasına da olanak tanır” diyor.
Taşıyıcıların aynı anda FCC, Gizli Servis ve FBI’a bildirimde bulunması, taşıyıcıların üzerindeki yükü en aza indirecek, yükümlülüklerle ilgili kafa karışıklığını ortadan kaldıracak ve raporlama sürecini düzene sokarak taşıyıcıların ihlali ele almak ve daha fazla zarar görmesini önlemek için kullanılabilecek kaynakları serbest bırakmasına izin verecektir. , diyor Gupta.
Süreçleri İyileştirmeye Yönelik Bir Baskı
Önerilen kural değişikliğinin, süreçlerini ve prosedürlerini değiştirmeye zorlandıkları için taşıyıcıların operasyonları üzerinde doğrudan bir etkisi olabilir. Gupta, “Taşıyıcıların, müşteri bilgilerinin gizliliğini etkileyen ihlalleri belirlemek ve bildirmek için yeni prosedürler uygulaması gerekecek. Buna, bir veri ihlali durumunda atılması gereken adımları özetleyen taşıyıcının olay müdahale planındaki değişiklikleri içerebilir.” .
Taşıyıcıların ayrıca, ihlalleri önlemek ve müşteri bilgilerine yetkisiz erişimi tespit etmek için yeni teknolojiye veya güvenlik önlemlerine yatırım yapması gerekebilir. Örneğin, bazı operatörlerin hassas müşteri verilerini korumak için çok faktörlü kimlik doğrulama, şifreleme ve diğer kontrolleri uygulaması gerekebilir.
Gupta, “Genel olarak,” diyor, “önerilen kural değişikliği, operatörlerin veri güvenliği ve ihlal raporlama konusunda daha proaktif bir yaklaşım benimsemesini gerektirecek. Bu, operatörler için ek maliyetlere ve kaynaklara neden olabilir, ancak sonuçta müşteri gizliliğini daha iyi korumak ve telekomünikasyon endüstrisinde gelecekteki ihlalleri önleyin.”
Konuyla ilgili kamuoyu yorumları FCC veri ihlali raporlama gereksinimleri 24 Mart’a kadar ödenecek.