Pourquoi les entreprises envoient-elles des alertes déroutantes au sujet des violations de données

Pourquoi les entreprises envoient-elles des alertes déroutantes au sujet des violations de données

Selon une nouvelle étude, les notifications que les entreprises envoient aux consommateurs à propos des violations de données manquent de clarté et peuvent semer la confusion chez les clients quant à savoir si leurs données sont en danger.

S'appuyant sur leurs recherches antérieures, qui montraient que les consommateurs agissaient rarement de manière efficace face aux violations de la sécurité, les chercheurs ont analysé les notifications de violation de données envoyées aux consommateurs pour voir si les communications pouvaient être responsables de l'inaction.

Ils ont constaté que le pourcentage 97 des notifications échantillonnées 161 était difficile ou assez difficile à lire sur la base de métriques de lisibilité, et que le langage utilisé pouvait avoir semé la confusion sur le point de savoir si le destinataire de la communication était à risque et devait agir.

«Pour la plupart des entreprises, ces notifications ne sont considérées que comme une obligation de se conformer aux lois sur la notification des violations de données…»

«Notre analyse montre que le fait d'obliger les entreprises à envoyer des notifications de violation de données, en vertu de la loi, n'est pas suffisant», déclare Yixin Zou, doctorant à l'Université du Michigan.

"Il est important de veiller à ce que des informations importantes telles que ce qui s'est passé et ce que les consommateurs devraient faire pour se protéger soient communiquées dans ces notifications d'une manière compréhensible et exploitable par les consommateurs."

Citant des statistiques tirées du Privacy Rights Clearinghouse, les auteurs notent que dans 2017, des données 853 violées ont compromis les enregistrements de 2.05 milliards, notamment les noms de consommateurs, les numéros de compte de contact, les détails de carte de crédit, les numéros de sécurité sociale, les enregistrements d'achat et d'achat, les médias sociaux. messages et messages, et dossiers médicaux.


Obtenez les dernières nouvelles d'InnerSelf


En réponse, la plupart des pays, y compris les États-Unis, ont adopté des lois sur la notification des violations de données. Aux États-Unis, chaque État dispose de sa propre loi sur la violation de données, ce qui signifie que le seuil à partir duquel les entreprises doivent informer les consommateurs, combien de temps après une violation, doivent envoyer des notifications et quelle doit être l'apparence de cette notification d'un État à l'autre.

"Les entreprises sont peu incitées à investir pour rendre les notifications de violation de données plus utilisables."

Cela laisse beaucoup de liberté aux entreprises pour utiliser des termes de couverture qui minimisent les risques - en utilisant des expressions telles que "vous pourriez être affecté" et "vous êtes susceptible d'être affecté" dans 70 pour cent des notifications et en vous disant "pour le moment, nous n'avons aucune preuve de les données sont mal utilisées ”40 pour cent du temps.

Cela permet également un manque de cohérence dans la résolution de la cause de la violation, de la date de l'événement et de la durée d'exposition, ont indiqué les chercheurs.

«Les entreprises sont peu incitées à investir pour rendre les notifications de violation de données plus facilement utilisables», explique Florian Schaub, professeur assistant à la School of Information.

«Pour la plupart des entreprises, ces notifications ne sont considérées que comme une obligation de se conformer aux lois sur la notification des violations de données, plutôt que comme un moyen d'éduquer et de protéger leurs clients. Nous devons repenser et reformuler les lois sur la protection des consommateurs telles que celles-ci afin de nous assurer que les notifications des entreprises sont réellement utiles aux consommateurs », a déclaré Schaub.

La plupart des lois des États exigent des entreprises qu’elles avertissent les consommateurs concernés par écrit ou par téléphone. Les courriels, les annonces sur les sites Web, les avis aux médias nationaux ou d’autres méthodes électroniques sont généralement des substituts. L'étude montre une tendance constante avec 95 pour cent des notifications analysées envoyées par courrier. Les chercheurs disent que la lenteur d'une lettre envoyée par la poste pourrait augmenter le temps pendant lequel les consommateurs ne seraient pas informés de la violation.

Les chercheurs ont partagé leurs travaux lors de la conférence CHI sur les facteurs humains en informatique à Glasgow, en Écosse.

La source: Université du Michigan

Livres connexes

{amazonWS: searchindex = Livres; mots-clés = sécurité des données personnelles; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

suivez InnerSelf sur

facebook-icontwitter-iconrss-icon

Recevez le dernier par courriel

{Emailcloak = off}