Sok fogyasztó nem védi az adatvédelmet

Az 1050 amerikai felnőtt fogyasztó megkérdezésén alapuló jelentés szerint a kutatásban résztvevők 16 százaléka nem tett semmilyen lépést, miután értesítést kapott a fiókját érintő adatvédelmi incidensről. A sérült számlákról származó információk felhasználhatók személyazonossági csalásra vagy arra, hogy a munkáltatókat sebezhetővé tegyék kibertámadásokkal szemben, beleértve a zsarolóprogramokat és a BEC-csalásokat (Business Email Compromise).

Ráadásul a résztvevők kevesebb mint fele (48 százalék) változtatta meg a jelszavakat a jogsértés által érintett fiókokon, és csak 22 százalék változtatta meg az összes jelszavát, miután értesítést kapott a támadásról. "Amikor megkérdeztük azt a 16 százalékot, hogy miért nem cselekedett, amikor értesítést kapott az adatvédelmi incidensről, 26 százalék azt mondta, hogy az adatai már kint vannak, és nem tudnak ellene tenni semmit"

- mondta Eva Velasquez, az ITRC elnöke és vezérigazgatója, egy San Diegó-i székhelyű nonprofit szervezet, amelyet a személyazonossági lopás áldozatainak segítésére és a fogyasztók oktatására alapítottak. "De vannak olyan lépések, amelyeket megtehetnek, attól függően, hogy milyen adatok kerültek veszélybe, amelyek segítenek nekik minimalizálni a kockázatot" - mondta a TechNewsWorldnek. "Ezt nem magyarázzuk el elég jól."

Tudatlanság és apátia

Velasquez hozzátette, hogy azon fogyasztók 17 százaléka, akik nem cselekedtek, amikor értesítést kaptak az adatvédelmi incidensről, nem tudták, mit tegyenek, amikor megkapták az értesítést, 14 százalékuk pedig azt gondolta, hogy a levelezés átverés. "Ha megnézzük ezeket az okokat, akkor tudomásunkra jut, hogy az, ahogyan értesítjük az embereket, ahogyan az információt tálaljuk, teljesen hatástalan, és újra kell értékelnünk, hogyan tájékoztatjuk az embereket arról, hogy az adataik sérültek egy jogsértés során" - mondta.

A jogsértésről szóló értesítésre nem reagálók további 29 százaléka úgy vélte, hogy az érintett szervezetnek kell foglalkoznia a problémával. "Ez nem igaz" - jegyezte meg Velasquez - "ezért több kommunikációt kell folytatni arról, hogy hol kezdődik és hol végződik ez a felelősség". "Ha értesítést kapunk arról, hogy ellopták a személyes adatainkat, az dermesztő, de nyilvánvalóan nem elég dermesztő ahhoz, hogy bármi jelentőset tegyünk ellene" - viccelődött Saryu Nayyar, a Gurucul, egy El Segundo, Kalifornia állambeli fenyegetéselemző cég vezérigazgatója.

"A probléma egy része" - mondta a TechNewsWorldnek - "az, hogy a felhasználók alapból azt gondolják, hogy semmi rossz nem fog történni a fiókjaikkal". Ray Pugh, az Expel, egy SOC mint szolgáltató biztonsági műveleti menedzsere (Herndon, Va.) egyetértett azzal, hogy a tudatlanság és az apátia szerepet játszhat az adatvédelmi incidensekről szóló értesítések figyelmen kívül hagyásában. "Egyes felhasználók talán nem teljesen értik, hogy mit jelent valójában az adatvédelmi incidensről szóló értesítés, és milyen következményekkel jár" - mondta a TechNewsWorldnek -, "míg mások értik a hatókörét, de apatikussá váltak a téma iránt".

Növekvő cinizmus

A fogyasztók száma, akik figyelmen kívül hagyják az adatvédelmi incidensekről szóló értesítéseket, nem meglepő, mivel nem áll rendelkezésükre megfelelő képzés a témában, állítja James McQuiggan, a KnowBe4, a Clearwaterben (Flawater, Egyesült Államok) működő biztonsági tudatossági képzést nyújtó cég biztonsági tudatosságért felelős szóvivője.

"Ha jogsértés éri őket, a legtöbb felhasználó azt hiszi, hogy tehetetlen, és nem biztos, hogy tudja, kihez forduljon" - mondta a TechNewsWorldnek. "Megfelelő képzés vagy tudatosság nélkül - amit nem könnyű megtalálni, hacsak nem egy olyan szervezetnél dolgoznak, amely ezt biztosítja - sokan nem keresik fel ezeket a készségeket" - mondta a TechNewsWorldnek.

John Gilmore, az Abine, egy bostoni adatvédelmi megoldásokkal foglalkozó vállalat kutatási igazgatója megjegyezte, hogy az ITRC/DIG megállapításai összhangban vannak az idén megjelent hasonló tanulmányokkal. "A fogyasztók körülbelül 85 százaléka azt mondja, hogy rendkívül aggódik az online adatvédelem miatt, és mindig van 15-20 százalék, akit egyszerűen nem érdekel" - mondta a TechNewsWorldnek.

Hozzátette, hogy a felmérések azt is megállapítják, hogy az adatvédelemmel kapcsolatos aggodalmak folyamatosan csökkennek, ahogy a fogyasztók a tudatosságtól a cselekvés felé haladnak. Így 85 százalékuk azt mondja, hogy aggódik az adatvédelem miatt, de csak 79 százalékuk mondja, hogy hajlandó cselekedni az adatvédelem érdekében, és körülbelül 50 százalékuk valóban cselekszik az adatvédelmi aggályai miatt.

A magánéletük védelmében proaktívan fellépő fogyasztók esetében - folytatta - a mutató még tovább csökken: körülbelül 30 százalék. "Az emberek nagyon szkeptikusak ezekkel a dolgokkal kapcsolatban" - mondta. "Időt szánnak az adatvédelmi beállítások módosítására, de ugyanakkor azt mondják, hogy nem hiszik, hogy ez sokat számítana." "Ez is része annak az egyre növekvő cinizmusnak, amely a nyilvánosságban az intézmények őszinteségével kapcsolatban mutatkozik, hogy megteszik-e, amit ígérnek".

A hitelbefagyasztás elkerülése

Az ITRC/DIG felmérésből az is kiderült, hogy miután értesültek a jogsértésről, a válaszadók mindössze három százaléka mondta azt, hogy befagyasztja a hitelképességét, hogy megakadályozza a hitelellenőrzést igénylő új számlák létrehozását, például új hitelek, hitelkártyák és egyéb nagyobb vásárlások esetén.

Velasquez elismerte, hogy nem kell minden egyes adatvédelmi incidens esetén befagyasztani a számlákat.

"Ha olyan adatbetörés részesei vagyunk, ahol a felhasználónevek és jelszavak a sérült adatok, az első lépés nem a hitel befagyasztása kell, hogy legyen" - mondta. "Annak semmi értelme nem lenne. Az első lépés a felhasználónevek és jelszavak megváltoztatása lenne". "Másrészt" - folytatta - "ha a társadalombiztosítási számokat és az összes olyan adatot, amely ahhoz szükséges, hogy új pénzügyi számlát nyissanak az Ön nevén, megsértették, akkor a számlák befagyasztásának előrébb kellene kerülnie a teendői listáján".

Pugh megjegyezte, hogy a fogyasztók esetleg azért ódzkodnak a hitel befagyasztásától, mert azt feleslegesnek és kényelmetlen lépésnek tartják. "Lehet, hogy arra gondolnak, hogy több ezer ember érintett a jogsértésben, és inkább arra fogadnak, hogy az információkat nem használják fel arra, hogy személyesen nekik ártsanak" - mondta.

"A számlák befagyasztása több gondot okozhat, mint amennyit megér, mert egy bizonyos ponton vissza kell menni, és fel kell oldani a számlák befagyasztását, és ez egy egész procedúrával jár" - tette hozzá Gilmore. "A legtöbb ember hajlandó kockáztatni" - folytatta. "Nem éri meg az időt."

Jelszavak újrafelhasználása

A jelszavakkal kapcsolatban az ITRC/DIG kutatói megállapították, hogy a válaszadók mindössze 15 százaléka állítja, hogy minden egyes fiókjához egyedi jelszót használ. A fennmaradó 85 százalék bevallotta, hogy több fiókban is használja a jelszavakat, bár néhányan azt állították, hogy még mindig kockázatos gyakorlat, hogy ugyanazon jelszó variációit használják különböző fiókokban.

Emellett a válaszadók mindössze nyolc százaléka mondta azt, hogy a személyazonosság-lopás és a csalás megelőzése érdekében szigorúan őrzi jelszavait.

"Kényelmes és egyszerűbb ugyanazt a jelszót használni, mint különböző jelszavakat megjegyezni" - jegyezte meg McQuiggan. "A felhasználóknak azt mondják, hogy hozzanak létre erős jelszavakat, és mindig ellenőrizzék a linkeket, de ez a szokás idegen tőlük" - magyarázta. "Azt is hiszik, hogy valószínűleg nem fogják őket feltörni, mert nincs semmijük, amit a kiberbűnözők el akarnának lopni."

"Az összetett jelszavakat nehéz megjegyezni, és egy elfelejtett jelszó visszaállítása olyan fájdalom, amelyet az elfoglalt emberek szeretnének elkerülni" - tette hozzá Pugh. A kompromittált jelszavak napjai azonban meg lehetnek számlálva. "Általánosságban elmondható, hogy a jelszó, mint fogalom, a végét járja" - mondta Gilmore. "Túl régóta létezik már, és jelenleg sokan keresik, hogyan lehetne helyettesíteni".