เหตุใดบริษัทต่างๆ จึงส่งการแจ้งเตือนที่สับสนเกี่ยวกับการละเมิดข้อมูล

การแจ้งเตือนที่บริษัทต่างๆ ส่งถึงผู้บริโภคเกี่ยวกับการละเมิดข้อมูลยังขาดความชัดเจน และอาจเพิ่มให้ลูกค้าสับสนว่าข้อมูลของพวกเขามีความเสี่ยงหรือไม่ ตามการวิจัยใหม่

จากการวิจัยก่อนหน้านี้ที่แสดงให้เห็นว่าผู้บริโภคมักดำเนินการเพียงเล็กน้อยเมื่อเผชิญกับการละเมิดความปลอดภัย นักวิจัยได้วิเคราะห์บริษัทแจ้งเตือนการละเมิดข้อมูลที่ส่งถึงผู้บริโภคเพื่อดูว่าการสื่อสารนั้นอาจรับผิดชอบต่อการไม่ดำเนินการบางอย่างหรือไม่

พวกเขาพบว่า 97 เปอร์เซ็นต์ของการแจ้งเตือนตัวอย่าง 161 ตัวอย่างนั้นยากหรือค่อนข้างอ่านยากโดยพิจารณาจากตัวชี้วัดความสามารถในการอ่าน และภาษาที่ใช้ในการแจ้งเตือนเหล่านั้นอาจก่อให้เกิดความสับสนว่าผู้รับการสื่อสารนั้นมีความเสี่ยงหรือไม่และควรดำเนินการ

“สำหรับบริษัทส่วนใหญ่ การแจ้งเตือนเหล่านั้นถือเป็นข้อกำหนดสำหรับการปฏิบัติตามกฎหมายการแจ้งเตือนการละเมิดข้อมูลเท่านั้น…”

"การวิเคราะห์ของเราแสดงให้เห็นว่าการกำหนดให้บริษัทตามกฎหมายต้องส่งการแจ้งเตือนการละเมิดข้อมูลเพียงอย่างเดียวไม่เพียงพอ" Yixin Zou นักศึกษาปริญญาเอกจากมหาวิทยาลัยมิชิแกนกล่าว

กราฟิกสมัครสมาชิกภายในตัวเอง

“สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าข้อมูลสำคัญ เช่น สิ่งที่เกิดขึ้นและสิ่งที่ผู้บริโภคควรทำเพื่อปกป้องตนเองได้รับการสื่อสารในการแจ้งเตือนเหล่านั้นในลักษณะที่ผู้บริโภคเข้าใจและนำไปดำเนินการได้”

อ้างอิงสถิติจากสำนักหักบัญชีสิทธิความเป็นส่วนตัว ผู้เขียนทราบว่าในปี 2017 มีการละเมิดข้อมูล 853 รายการที่ทำลายสถิติ 2.05 พันล้านรายการ ซึ่งรวมถึงชื่อผู้บริโภค หมายเลขบัญชีข้อมูลติดต่อ รายละเอียดบัตรเครดิต หมายเลขประกันสังคม บันทึกการซื้อของ โซเชียลมีเดีย โพสต์และข้อความและบันทึกสุขภาพ

ในการตอบสนอง ประเทศส่วนใหญ่ รวมทั้งสหรัฐอเมริกา ได้นำกฎหมายการแจ้งเตือนการละเมิดข้อมูลมาใช้ ในสหรัฐอเมริกา แต่ละรัฐมีกฎหมายว่าด้วยการละเมิดข้อมูลของตนเอง ซึ่งหมายความว่าเกณฑ์เมื่อบริษัทต้องแจ้งให้ผู้บริโภคทราบ จะต้องส่งการแจ้งเตือนหลังจากการละเมิดเมื่อใด และการแจ้งเตือนนั้นต้องมีลักษณะอย่างไรจะแตกต่างกันไปในแต่ละรัฐ

“มีแรงจูงใจเพียงเล็กน้อยสำหรับบริษัทต่างๆ ที่จะลงทุนในการทำให้การแจ้งเตือนการละเมิดข้อมูลมีประโยชน์มากขึ้น”

ซึ่งช่วยให้บริษัทมีอิสระอย่างมากในการใช้เงื่อนไขป้องกันความเสี่ยงที่มองไม่เห็น โดยใช้วลีเช่น "คุณอาจได้รับผลกระทบ" และ "คุณมีแนวโน้มที่จะได้รับผลกระทบ" ในการแจ้งเตือน 70 เปอร์เซ็นต์และพูดว่า "ในขณะนี้ เราไม่มีหลักฐานว่าถูกเปิดเผย ข้อมูลถูกใช้ในทางที่ผิด” 40 เปอร์เซ็นต์ของเวลา

นอกจากนี้ยังช่วยให้ขาดความสอดคล้องในการระบุสาเหตุของการละเมิด วันที่เกิด และเวลาเปิดรับแสง นักวิจัยกล่าว

Florian Schaub ผู้ช่วยศาสตราจารย์ใน School of Information กล่าวว่า "บริษัทต่างๆ แทบไม่มีแรงจูงใจที่จะลงทุนในการทำให้การแจ้งเตือนการละเมิดข้อมูลมีประโยชน์มากขึ้น

“สำหรับบริษัทส่วนใหญ่ การแจ้งเตือนเหล่านั้นเป็นเพียงข้อกำหนดสำหรับการปฏิบัติตามกฎหมายการแจ้งเตือนการละเมิดข้อมูล แทนที่จะเป็นวิธีการให้ความรู้และปกป้องลูกค้าของพวกเขา เราจำเป็นต้องคิดใหม่และดำเนินการแก้ไขกฎหมายคุ้มครองผู้บริโภคเช่นนี้ เพื่อให้แน่ใจว่าการแจ้งเตือนของบริษัทต่างๆ จะเป็นประโยชน์ต่อผู้บริโภคอย่างแท้จริง” Schaub กล่าว

กฎหมายของรัฐส่วนใหญ่กำหนดให้บริษัทต้องแจ้งให้ผู้บริโภคที่ได้รับผลกระทบทราบเป็นลายลักษณ์อักษรหรือทางโทรศัพท์ อีเมล ประกาศบนเว็บไซต์ ประกาศต่อสื่อทั่วทั้งรัฐ หรือวิธีการทางอิเล็กทรอนิกส์อื่นๆ มักจะใช้แทนกันได้ การศึกษาแสดงให้เห็นรูปแบบที่สอดคล้องกับ 95 เปอร์เซ็นต์ของการแจ้งเตือนที่วิเคราะห์ที่ส่งทางไปรษณีย์ นักวิจัยกล่าวว่าความเร็วที่ช้าของจดหมายทางไปรษณีย์อาจเพิ่มเวลาที่ผู้บริโภคไม่ทราบถึงการละเมิด

นักวิจัยได้แบ่งปันผลงานของพวกเขาในการประชุม CHI Conference on Human Factors in Computing ในเมืองกลาสโกว์ สกอตแลนด์

ที่มา: มหาวิทยาลัยมิชิแกน

หนังสือที่เกี่ยวข้อง

at ตลาดภายในและอเมซอน