Princípios importantes
- A FCC propôs três mudanças no procedimento que as empresas de telecomunicações seguem em caso de violação de dados.
- A FCC afirma que as propostas são feitas à luz do cenário de segurança em evolução.
-
Especialistas do setor saudaram a mudança argumentando que as mudanças ajudarão a tornar as divulgações mais transparentes.
Especialistas do setor deram as boas-vindas a uma proposta apresentada pela Federal Communications Commission (FCC) para obrigar as empresas a compartilhar detalhes sobre quaisquer violações de dados com os usuários afetados sem demora.
A proposta apresentada pela presidente da FCC, Jessica Rosenworcel, vem à luz das recentes violações de dados e busca revisar as regras atuais, dada a maior frequência, sofisticação e escala dos vazamentos de dados.
"As novas propostas da FCC são um passo na direção certa", disse Jack Chapman, vice-presidente de inteligência de ameaças do fornecedor de segurança Egress, à Lifewire por e-mail. "[Eles] fortalecerão a proteção dos titulares de dados e melhorarão a transparência entre operadoras, consumidores e o próprio regulador, o que deve ajudar a apoiar os direitos dos titulares de dados no atual cenário de ameaças."
Cenário de Ameaças em Evolução
De acordo com o comunicado de imprensa da FCC, as atualizações propostas visam aproximar as regras que regem o setor de telecomunicações com as leis que regem os demais setores.
"A lei atual já exige que as operadoras de telecomunicações protejam a privacidade e a segurança das informações confidenciais dos clientes. Mas essas regras precisam ser atualizadas para refletir totalmente a natureza evolutiva das violações de dados e a ameaça em tempo real que elas representam para os consumidores afetados", observou Rosenworcel na proposta.
Chapman concorda, dizendo que as atualizações abordam a realidade de que a indústria de telecomunicações está sendo alvo de uma "onda de ataques cibernéticos sofisticados", citando o exemplo da T-Mobile, que recentemente sofreu uma violação que expôs os dados de mais de 50 milhões de seus clientes.
A proposta da FCC descreve três atualizações significativas nas atuais regras de notificação de violação. A primeira visa eliminar a obrigatoriedade do período de espera de sete dias para notificar os clientes sobre uma violação.
Argumentando pela remoção do período de espera, Rosenworcel disse que os clientes precisam ser protegidos contra vazamentos de dados cujas consequências podem durar anos após a exposição inicial.
Garantir que essas empresas respondam de forma responsável e rápida a qualquer violação de dados ajuda a criar uma melhor cultura coletiva de privacidade e segurança de dados…
Vendo o mérito da mudança, Chapman disse que, se os clientes forem informados de uma violação imediatamente, em vez de uma semana depois, eles poderão ficar mais atentos a ataques de acompanhamento, como phishing e vishing. Ele acredita que isso é fundamental e pode ajudar os usuários a se protegerem contra ataques que podem levar os usuários a perder mais dados.
"Ao eliminar o período de espera de sete dias para as operadoras notificarem os clientes sobre uma violação de dados, a FCC está colocando o poder de volta nas mãos das pessoas, ajudando-as a tomar medidas para se proteger se seus dados forem violado", opinou Chapman.
Determinando a Culpa
A FCC também quer expandir o escopo da proteção ao cliente, forçando as empresas a compartilhar detalhes sobre "violações inadvertidas" também.
Chamando a mudança de "passo bem-vindo", Chapman disse à Lifewire que violações inadvertidas podem ser tão sérias quanto ataques cibernéticos. Ele argumentou que, uma vez que o dano é feito, faz pouca diferença para os usuários se suas informações foram roubadas por meio de um hack de rede ou de um servidor inseguro.
A terceira alteração proposta pela FCC exige que a empresa de telecomunicações afetada notifique os indivíduos e a FCC, o FBI e o Serviço Secreto dos EUA.
Novamente, Chapman vê mérito no movimento e razões pelas quais as outras agências federais podem fornecer benefícios de longo prazo aos consumidores, fortalecendo a resposta regulatória às violações. Ele disse que a medida garantiria que o regulador possa responder de forma mais rápida e eficaz e ajudar a garantir que as organizações em f alta sejam devidamente repreendidas.
"As operadoras coletam uma enorme quantidade de informações sobre seus clientes, muitas delas consistindo em dados privados e altamente confidenciais", disse à Lifewire por e-mail Trevor J. Morgan, gerente de produto da comforte AG, especialista em segurança de dados. “Garantir que essas empresas respondam com responsabilidade e rapidez a qualquer violação de dados – hack intencional ou vazamento inadvertido de dados – ajuda a criar uma melhor cultura coletiva de privacidade e segurança de dados e, incidentalmente, nutre a confiança do público."