Meldingene om at bedrifter sender forbrukerne om databrudd mangler klarhet og kan legge til forvirring hos kunden om deres data er i fare, ifølge ny forskning.
Ved å bygge videre på deres tidligere forskning som viste at forbrukerne ofte tar liten tiltak når de står overfor sikkerhetsbrudd, analyserte forskerne databruddmeldingene selskapene som ble sendt til forbrukerne for å se om kommunikasjonen kan være ansvarlig for noen av passiviteten.
De fant ut at 97-prosent av 161-samplede varslinger var vanskelige eller ganske vanskelige å lese basert på lesbarhetsstatistikk, og at språket som brukes i dem, kan ha bidratt til forvirring om mottakeren av kommunikasjonen var i fare og bør iverksette tiltak.
"For de fleste bedrifter er disse kunngjørelsene bare sett på som et krav for å overholde lovbrudd om brudd på data ..."
"Vår analyse viser at det kreves at lovgivere ifølge loven kun sender meldinger om brudd på data, ikke er tilstrekkelig, sier Yixin Zou, doktorgradsstudent ved University of Michigan.
"Det er viktig å sikre at viktig informasjon som hva som skjedde og hva forbrukerne burde gjøre for å beskytte seg, kommuniseres i disse meldingene på en måte som er forståelig og gjennomførbar av forbrukerne."
Med henvisning til statistikk fra Rettighetshaveri for opphavsrett, bemerker forfatterne at 2017 i 853 brøt data som brutt 2.05-billedrekorder, som inneholdt forbrukernavn, kontaktinformasjonskontonumre, kredittkortdetaljer, personnummer, kjøp og innkjøpsrekord, sosiale medier innlegg og meldinger, og helsjournaler.
Som svar har de fleste land, inkludert USA, vedtatt lov om brudd på lovbrudd. I USA har hver stat sin egen lov om brudd på data, noe som betyr at terskelen for når selskapene skal varsle forbrukerne, hvor snart de skal sende meldinger, og etter at bruddene må se ut, varierer de forskjellige landene.
"Det er lite incitament for bedrifter å investere i å gjøre brudd på datautbrudd mer brukervennlig."
Dette gir mye frihet for selskaper å bruke hekkevilkår som reduserer risikofylte setninger som "du kan bli påvirket" og "du sannsynligvis vil bli påvirket" i 70 prosent av varslene og sier "på dette tidspunkt har vi ingen bevis for eksponering data blir misbrukt "40 prosent av tiden.
Det tillater også mangel på konsistens i å ta opp årsaken til bruddet, datoen for forekomsten og mengden eksponeringstid, sier forskerne.
"Det er lite incitament for bedrifter å investere i å gjøre data bruddvarsler mer brukbare, sier Florian Schaub, assisterende professor i Informasjonsskolen.
"For de fleste bedrifter er disse kunngjørelsene bare sett på som et krav for å overholde lovbrudd om lovbrudd i stedet for en måte å utdanne og beskytte sine kunder på. Vi må revurdere og omarbeide forbrukerbeskyttelseslover som disse for å sikre at selskapers varsler faktisk er nyttige for forbrukerne, sier Schaub.
De fleste statlige lover krever at selskaper skal informere berørte forbrukere i skriftlige brev eller telefon. E-post, nettside kunngjøringer, meldinger til statewide media, eller andre elektroniske metoder er vanligvis erstatninger. Studien viser et konsekvent mønster med 95 prosent av analyserte meldinger levert via post. Forskerne sier at den langsomme hastigheten på et sendt brev kan øke tiden da forbrukerne forblev uinformert om bruddet.
Forskerne delte sitt arbeid på CHI konferansen om menneskelige faktorer i databehandling i Glasgow, Skottland.
kilde: University of Michigan
Relaterte bøker
at InnerSelf Market og Amazon
