Varför företag skickar förvirrande varningar om dataöverträdelser

Anmälningarna att företag skickar konsumenterna om dataöverträdelser saknar klarhet och kan öka kundens förvirring om deras data är i fara, enligt ny forskning.

På grundval av sin tidigare forskning som visade att konsumenterna ofta fattar liten åtgärd när de möter säkerhetsbrott, analyserade forskare de anmälningar om dataförluster som skickades till konsumenterna för att se om kommunikationen kan vara ansvarig för några av bristerna.

De fann att 97-procenten av 161-provtagningarna var svåra eller ganska svåra att läsa utifrån läsbarhetsvärdena och att språket som används i dem kan ha bidragit till förvirring om mottagaren av kommunikationen var i fara och bör vidta åtgärder.

"För de flesta företag ses dessa anmälningar bara som ett krav på att följa lagar om överträdelse av överträdelser av uppgifter ..."

"Vår analys visar att det inte är tillräckligt med krav på att företag genom lag att skicka meddelandeöverlämnanden endast är tillräckliga", säger Yixin Zou, doktorand vid University of Michigan.

innerself prenumerera grafik

"Det är viktigt att säkerställa att viktig information, som vad som hände och vad konsumenterna bör göra för att skydda sig, kommuniceras i dessa meddelanden på ett sätt som är begripligt och genomförbart av konsumenterna."

Citerar statistik från Privacy Rights Clearinghouse noterar författarna att 2017 i 853 bröt över 2.05-data, vilket komprometterade XNUMX-miljardskivor, vilket innehöll konsumentnamn, kontonummer för kontaktuppgifter, kreditkortsuppgifter, personnummer, inköp och inköpslistor, sociala medier inlägg och meddelanden samt hälsovårdsuppgifter.

Till följd av detta antog de flesta länder, inklusive USA, lagar om överträdelse av dataskydd. I USA har varje stat en egen lag för överträdelse av uppgifter, vilket innebär att tröskeln för när företagen måste meddela konsumenterna, hur snart de ska skicka meddelanden, och hur den anmälan ska se ut varierar mellan olika stater.

"Det finns ett litet incitament för företag att investera i att göra anmälningar om datautbrott mer användbara".

Detta ger mycket frihet för företag att använda säkringsvillkor som nedspelar riskanvändande fraser som "du kan påverkas" och "du kommer sannolikt att påverkas" i 70 procent av anmälningar och säger "vid denna tid har vi inga bevis för exponering data missbrukas "40 procent av tiden.

Det möjliggör också brist på konsekvens i att ta itu med orsaken till överträdelsen, datumet för förekomsten och exponeringstiden, säger forskarna.

"Det finns ett litet incitament för företag att investera i att göra anmälningar om datautbrott mer användbara", säger Florian Schaub, biträdande professor i Informationsskolan.

"För de flesta företag ses dessa anmälningar endast som ett krav på att följa lagar om lagring av dataskydd snarare än ett sätt att utbilda och skydda sina kunder. Vi måste ompröva och omarbeta lagstiftning om konsumentskydd som dessa för att säkerställa att företagets anmälningar verkligen är användbara för konsumenterna, säger Schaub.

De flesta statliga lagar kräver att företagen meddelar berörda användare i skriftliga brev eller telefon. E-postmeddelanden, webbplatsmeddelanden, meddelanden till statewide media eller andra elektroniska metoder är vanligtvis ersättare. Studien visar ett konsekvent mönster med 95 procent av de analyserade meddelandena som skickas via post. Forskarna säger att en långvarig hastighet på ett mailat brev kan öka tiden när konsumenterna förblev oinformerade om överträdelsen.

Forskarna delade sitt arbete på CHI-konferensen om mänskliga faktorer i datorer i Glasgow, Skottland.

Källa: University of Michigan

relaterade böcker

at InnerSelf Market och Amazon