Чому компанії надсилають заплутані сповіщення про порушення даних

Згідно з новим дослідженням, повідомлення про те, що компанії надсилають споживачам про порушення даних, не мають чіткості і можуть внести сумнів у споживачів щодо того, чи є їх дані під загрозою.

Спираючись на попереднє дослідження, яке показало, що споживачі часто мало що роблять, стикаючись із порушеннями безпеки, дослідники проаналізували повідомлення про порушення даних, які компанії надсилають споживачам, щоб перевірити, чи не може комунікація нести відповідальність за бездіяльність.

Вони виявили, що 97 відсотків 161 зразків повідомлень важко чи досить важко читати на основі метрик читабельності, і що мова, що використовується в них, могла внести сум'яття в те, чи отримувач повідомлення перебуває під загрозою і повинен вжити заходів.

"Для більшості компаній ці повідомлення розглядаються лише як вимога дотримання законів про повідомлення про порушення даних ..."

"Наш аналіз показує, що вимагати згідно із законом компаній лише надсилати повідомлення про порушення даних недостатньо", - говорить Ісін Цзоу, докторант Мічиганського університету.

Innersele підписатися графіка

"Важливо забезпечити, щоб така важлива інформація, як те, що сталося, і що споживачі повинні робити, щоб захистити себе, передавалася в цих сповіщеннях таким чином, щоб споживачі зрозуміли та могли реагувати на них".

Посилаючись на статистичні дані Механізму управління правами на конфіденційність, автори зазначають, що в 2017 році було порушено 853 дані, які скомпрометували 2.05 млрд записів, які включали імена споживачів, номери рахунків контактної інформації, дані кредитної картки, номери соціального страхування, записи про покупки та закупівлі, соціальні мережі повідомлення та повідомлення, а також медичні записи.

У відповідь більшість країн, включаючи США, прийняли закони про повідомлення про порушення даних. У США кожен штат має власний закон про порушення даних, що означає, що поріг, коли компанії повинні повідомляти споживачів, як швидко після порушення вони повинні надсилати повідомлення, і як це повідомлення повинно виглядати, різниться залежно від штату.

"Компаній мало стимулів інвестувати в те, щоб зробити повідомлення про порушення даних більш корисними".

Це дає велику свободу компаніям використовувати терміни хеджування, які зменшують ризик - використовуючи фрази на кшталт "вас можуть зачепити" та "вас, ймовірно, це зачепить" у 70 відсотках повідомлень і кажучи "на даний момент ми не маємо доказів викритості зловживання даними »40 відсотків часу.

Це також дозволяє брати послідовність у вирішенні причини порушення, дати виникнення та кількості часу впливу, кажуть дослідники.

"Компанії мало стимулюють інвестувати в те, щоб зробити повідомлення про порушення даних більш корисними", - говорить Флоріан Шауб, доцент Школи інформації.

«Для більшості компаній ці повідомлення розглядаються лише як вимога дотримання законів про повідомлення про порушення даних, а не як спосіб навчання та захисту своїх клієнтів. Нам потрібно переглянути і переробити такі закони про захист прав споживачів, щоб гарантувати, що повідомлення компаній насправді корисні для споживачів », - каже Шауб.

Більшість законодавчих актів штату вимагають від компаній повідомляти постраждалих споживачів письмовими листами або телефоном. Електронні листи, анонси веб-сайтів, повідомлення до ЗМІ або інші електронні методи, як правило, замінюють. Дослідження показує послідовну закономірність, коли 95 відсотків проаналізованих повідомлень надсилаються поштою. Дослідники кажуть, що повільна швидкість надсилання листів може збільшити час, коли споживачі залишаються неінформованими про порушення.

Дослідники поділились своєю роботою на конференції CHI з питань людських факторів в обчислювальній техніці в Глазго, Шотландія.

джерело: Мічиганський університет

Суміжні книги

at InnerSelf Market і Amazon