Mengapa Perusahaan Mengirim Peringatan yang Membingungkan Tentang Pelanggaran Data

Pemberitahuan bahwa perusahaan mengirim konsumen tentang pelanggaran data kurang jelas dan dapat menambah kebingungan pelanggan tentang apakah data mereka berisiko, menurut penelitian baru.

Berdasarkan penelitian sebelumnya yang menunjukkan bahwa konsumen sering melakukan sedikit tindakan ketika menghadapi pelanggaran keamanan, para peneliti menganalisis pemberitahuan pelanggaran data yang dikirimkan perusahaan kepada konsumen untuk melihat apakah komunikasi tersebut mungkin bertanggung jawab atas beberapa kelambanan.

Mereka menemukan bahwa 97 persen dari pemberitahuan sampel 161 sulit atau cukup sulit dibaca berdasarkan metrik keterbacaan, dan bahwa bahasa yang digunakan di dalamnya mungkin berkontribusi pada kebingungan tentang apakah penerima komunikasi berisiko atau harus mengambil tindakan.

"Bagi sebagian besar perusahaan, pemberitahuan itu hanya dilihat sebagai persyaratan untuk mematuhi undang-undang pemberitahuan pelanggaran data ..."

"Analisis kami menunjukkan bahwa mewajibkan perusahaan secara hukum untuk mengirim pemberitahuan pelanggaran data saja tidak cukup," kata Yixin Zou, seorang mahasiswa doktoral di University of Michigan.

grafis berlangganan batin

"Penting untuk memastikan bahwa informasi penting seperti apa yang terjadi dan apa yang harus dilakukan konsumen untuk melindungi diri mereka dikomunikasikan dalam pemberitahuan tersebut dengan cara yang dapat dimengerti dan ditindaklanjuti oleh konsumen."

Mengutip statistik dari Privacy Rights Clearinghouse, penulis mencatat bahwa di 2017 terdapat data 853 yang dilanggar yang mengkompromikan 2.05 miliar catatan, yang mencakup nama konsumen, nomor akun informasi kontak, perincian kartu kredit, nomor jaminan sosial, nomor pembelian dan catatan pembelian, media sosial posting dan pesan, dan catatan kesehatan.

Sebagai tanggapan, sebagian besar negara, termasuk Amerika Serikat, mengadopsi undang-undang pemberitahuan pelanggaran data. Di AS, setiap negara bagian memiliki undang-undang pelanggaran data sendiri, yang berarti bahwa ambang kapan perusahaan harus memberi tahu konsumen, seberapa cepat setelah pelanggaran mereka harus mengirim pemberitahuan, dan seperti apa pemberitahuan itu harus berbeda di setiap negara bagian.

"Ada sedikit insentif bagi perusahaan untuk berinvestasi dalam membuat pemberitahuan pelanggaran data lebih bermanfaat."

Hal ini memungkinkan banyak kebebasan bagi perusahaan untuk menggunakan istilah lindung nilai yang mengecilkan risiko — menggunakan frasa seperti "Anda mungkin akan terpengaruh" dan "Anda mungkin akan terpengaruh" dalam 70 persen pemberitahuan dan mengatakan "saat ini, kami tidak memiliki bukti terpapar. data disalahgunakan ”40 persen dari waktu.

Hal ini juga memungkinkan kurangnya konsistensi dalam mengatasi penyebab pelanggaran, tanggal terjadinya, dan jumlah waktu pemaparan, kata para peneliti.

"Ada sedikit insentif bagi perusahaan untuk berinvestasi dalam membuat pemberitahuan pelanggaran data lebih bermanfaat," kata Florian Schaub, asisten profesor di School of Information.

“Bagi sebagian besar perusahaan, pemberitahuan tersebut hanya dilihat sebagai persyaratan untuk mematuhi undang-undang pemberitahuan pelanggaran data dan bukan sebagai cara untuk mendidik dan melindungi pelanggan mereka. Kita perlu memikirkan kembali dan menyusun kembali undang-undang perlindungan konsumen seperti ini untuk memastikan bahwa notifikasi perusahaan benar-benar bermanfaat bagi konsumen, ”kata Schaub.

Sebagian besar undang-undang negara bagian mewajibkan perusahaan untuk memberi tahu konsumen yang terkena dampak melalui surat tertulis atau melalui telepon. Email, pengumuman situs web, pemberitahuan ke media di seluruh negara bagian, atau metode elektronik lainnya biasanya merupakan pengganti. Studi ini menunjukkan pola yang konsisten dengan 95 persen dari pemberitahuan yang dianalisis yang dikirim melalui pos. Para peneliti mengatakan lambatnya surat yang dikirim dapat meningkatkan waktu ketika konsumen tetap tidak mengetahui pelanggaran tersebut.

Para peneliti berbagi pekerjaan mereka di Konferensi CHI tentang Faktor Manusia dalam Komputasi di Glasgow, Skotlandia.

Sumber: University of Michigan

Buku terkait

at Pasar InnerSelf dan Amazon