অনলাইন তথ্যের সম্পদের সাথে, আমরা সকলেই সম্ভাব্য নিরাপত্তা লঙ্ঘন সম্পর্কে উদ্বিগ্ন। তবে সম্ভাব্যভাবে, এই লঙ্ঘনগুলি মার্কিন যুক্তরাষ্ট্রে গোপন রাখা যেতে পারে৷
এটি বিরল একটি মাস যা ডেটা লঙ্ঘনের গর্জন ছাড়াই যায়৷ শুধু অ্যাশলে ম্যাডিসন ফাঁসের দিকে তাকান, যেখানে প্রতারণার স্বামীদের অ্যাকাউন্টের বিবরণ অনলাইনে ডাম্প করা হয়েছে। এটি একটি বড় চুক্তি, এবং এর গুরুতর পরিণতি রয়েছে। অ্যাডাল্টফ্রেন্ড ফাইন্ডার ব্যবহারকারীদের মে মাসে একই ধরনের মাথাব্যথা ছিল। এমনকি ইবে গত বছর আপস করা হয়েছিল।
কোন ধরনের ফাঁস গোপন রাখা পাগলাটে শোনায়। কিন্তু এটা কি?
এটি অবশ্যই জড়িত সংস্থাগুলির স্বার্থে হবে, তবে গ্রাহকদের জন্যও একটি ইতিবাচক নক-অন প্রভাব হতে পারে। সত্যিই না. এটি সব গোলাপ নয়, তবে এটি শুনতে যতটা ভয়ঙ্কর মনে হয় ততটা ভয়ানক নাও হতে পারে।
যখন কোম্পানিগুলো নীরব থাকে
প্রস্তাবিত আইন কোম্পানিগুলিকে অনুমতি দিতে পারে, কিছু পরিস্থিতিতে, হ্যাকাররা যখন তাদের সিস্টেমগুলি অ্যাক্সেস করে তখন আঁটসাঁট থাকতে পারে - কিন্তু শুধুমাত্র যদি তারা বিশ্বাস করে যে "কোন যুক্তিসঙ্গত সুযোগ নেই" এই ধরনের লঙ্ঘন গ্রাহকদের গুরুতরভাবে প্রভাবিত করতে পারে। সাধারণত, হ্যাকারদের শিকার যেকোন কোম্পানিকে ফেডারেল ট্রেড কমিশনে (এফটিসি) বিস্তারিত পাঠাতে হবে। এটি বর্তমান রাষ্ট্রীয় প্রকাশ আইন প্রণয়ন করবে, যার বেশিরভাগ কোম্পানিগুলিকে ফাঁস ঘোষণা করতে বাধ্য করে।
মূলত, যদি কোনো সংবেদনশীল বা সম্ভাব্য ক্ষতিকারক কিছু চুরি না হয়, তাহলে ব্যবসাগুলিকে হ্যাক করার সময় আপনাকে জানানোর প্রয়োজন নেই৷
হ্যাক করা ব্যবসাগুলিকে মূল্যায়ন করতে হবে যে ডেটা এক্সট্র্যাক্ট করা গ্রাহকদের উদ্বিগ্ন হওয়া উচিত কিনা। পরিচয় চুরি বা ব্যাংকিং তথ্য হতে পারে. তারপর স্বাভাবিক পদ্ধতি অনুসরণ করতে হবে। বিজ্ঞপ্তি পাঠাতে হবে যদি:
"একটি নিরাপত্তা লঙ্ঘনের মধ্যে রয়েছে:(1) 10,000 জনের বেশি ব্যক্তির ব্যক্তিগত তথ্য, (2) 1 মিলিয়নের বেশি ব্যক্তির ব্যক্তিগত তথ্য ধারণকারী একটি ডাটাবেস, (3) ফেডারেল সরকারের ডেটাবেস, বা (4) ফেডারেলের ব্যক্তিগত তথ্য জাতীয় নিরাপত্তা বা আইন প্রয়োগের সাথে জড়িত বলে পরিচিত কর্মচারী বা ঠিকাদার।"
জেরাল্ড ফার্গুসন, বেকার অ্যান্ড হোস্টেটলার এলএলপি-এর একজন গোপনীয়তা অ্যাটর্নি যিনি ফাঁস হওয়ার সময় কোম্পানিগুলিকে পরামর্শ দেন, ওয়াল স্ট্রিট জার্নালকে বলেছেন:
"[বিল] কম বিজ্ঞপ্তির দিকে পরিচালিত করবে... এটি কোম্পানিগুলিকে আর্থিক ক্ষতির যুক্তিসঙ্গত ঝুঁকি আছে কিনা তা নিয়ে দ্বিতীয় বিশ্লেষণ করার অনুমতি দেবে। আপনি যখন ক্ষতির বিশ্লেষণের ঝুঁকি শুরু করবেন তখন অনেক বিচক্ষণতা আছে। "
2015 সালের ডেটা সুরক্ষা এবং লঙ্ঘন বিজ্ঞপ্তি আইনটি দুবার পঠিত হয়েছিল এবং জানুয়ারিতে বাণিজ্য, বিজ্ঞান এবং পরিবহন কমিটির কাছে পাঠানো হয়েছিল৷
কেন এটি ব্যবসার জন্য দুর্দান্ত
বিদ্রূপাত্মকভাবে, অ্যাশলে ম্যাডিসন কী প্রস্তাব করেছিলেন:বিচক্ষণতা।
খ্যাতি চাবিকাঠি. এই কারণেই, উদাহরণস্বরূপ, কারফোন ওয়্যারহাউস তাদের সাম্প্রতিক লঙ্ঘনের বিষয়ে নীরব ছিল, যা যতদিন সম্ভব যুক্তরাজ্যে 2.4 মিলিয়ন মানুষকে প্রভাবিত করতে পারে। কেউ এমন কোম্পানি ব্যবহার করতে চায় না যে তারা আক্রমণের জন্য ঝুঁকিপূর্ণ বলে মনে করে। নিরাপত্তা সমস্যা খুঁজে পেতে গ্রাহকদের তাদের কোড রিভার্স ইঞ্জিনিয়ার না করার জন্য অনুরোধ করে ওরাকল নিজের পায়ে গুলি করে। এটা স্বীকার করার মতোই যে আপনি নিরাপত্তা সংক্রান্ত অনেক সমস্যা পেয়েছেন , অথবা একটি বিশাল সাইন ছুড়ে দিয়ে লেখা, "আপনি আপনার ব্যক্তিগত তথ্য দিয়ে আমাদের বিশ্বাস করতে পারবেন না!"
ভাল চিৎকার, ওরাকল।
খ্যাতি মানে অনেক। মানে টাকা। 2014 সালের একটি সমীক্ষায় জানা গেছে যে ব্যবসাগুলি ডেটা লঙ্ঘনের প্রতিটি রেকর্ডের জন্য গড়ে $145 খরচ করেছে, কিন্তু যখন জনপ্রিয় খুচরা বিক্রেতা, টার্গেট ঘোষণা করেছে যে 2013 সালে 40 মিলিয়ন গ্রাহকের ক্রেডিট কার্ডের সাথে আপস করা হয়েছে, ক্ষতিগ্রস্তরা $10,000 পর্যন্ত ক্ষতির দাবি করতে পারে (যদিও এটি সামগ্রিকভাবে যথেষ্ট কম ছিল)। মোট ছিল $10 মিলিয়ন।
টার্গেট কর্পোরেশনে স্টক ব্যাপকভাবে ক্ষতিগ্রস্ত হয়েছে বলে মনে হয় না, যদিও লঙ্ঘনের পরে দাম কমেছে। এটি আসলে সাহায্য করেছে যে তারা আইনত প্রয়োজনীয় হওয়ার আগে তথ্য প্রকাশ করেছে।
যাইহোক, এটা ঝুঁকিপূর্ণ ছিল. গত মার্চ মাসে সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশনের অ্যাটর্নি ডগলাস মিল বলেছেন:
"[আমি] যদি আপনি কখনোই লঙ্ঘনটি প্রকাশ না করেন তবে আপনার কাছে ক্লাস অ্যাকশন স্যুট নেই... এটি লঙ্ঘনের প্রকাশ যা মামলার আগুনের ঝড় তৈরি করে... কোম্পানিগুলি মনে করে তারা প্রকাশ করে সঠিক কাজ করছে কিন্তু পরিবর্তে শেষ পর্যন্ত সমস্যা হিসেবে দেখা হচ্ছে।"
কেন এটি গ্রাহকদের জন্য ভাল হতে পারে...
স্পিন? অত্যধিক বিজ্ঞপ্তি মানে গ্রাহকদের অপ্রয়োজনীয় উদ্বেগ নিয়ে আতঙ্কিত করা। এটি নিঃসন্দেহে হ্যাকারদের সাপেক্ষে ব্যবসার জন্য একটি ভাল পদক্ষেপ, তবে এটি আপনার জন্যও একটি ভাল পদক্ষেপ হতে পারে৷
মার্কিন যুক্তরাষ্ট্রে প্রকাশের সাথে এই মুহূর্তে একটি বড় সমস্যা হল রাজ্য বিভাগের আইন। রাজ্য জুড়ে বিভিন্ন প্রবিধান মেনে চলা আসলে কী ঘটেছে তা লোকেদের জানানোর প্রক্রিয়াটিকে ধীর করে দেয়। আলাদা হুপ দিয়ে ঝাঁপ দেওয়ার পরিবর্তে, কোম্পানিগুলিকে শুধুমাত্র FTC বিধি মেনে চলতে হবে৷
মানদণ্ড প্রায়শই সম্পর্কিত; শুধু কিভাবে একজন অ্যাটর্নি নির্ধারণ করে যে কোন ডেটা গ্রাহকদের প্রভাবিত করতে পারে? সৌভাগ্যবশত, 2015 খসড়ার ডেটা সিকিউরিটি অ্যান্ড ব্রীচ নোটিফিকেশন অ্যাক্টে এগুলি স্পষ্টভাবে উল্লেখ করা হয়েছে। স্বীকার্য যে, তারা জাতীয় নিরাপত্তা সম্পর্কিত ডেটা সুরক্ষার গুরুত্বকে আন্ডারলাইন করে, তবে প্রথম এবং দ্বিতীয় ধারাগুলি কোনও বড় ফাঁসকে কভার করে৷
বিজ্ঞপ্তিগুলিও দ্রুত হওয়া উচিত:যদি আপনার ব্যক্তিগত আর্থিক তথ্যের সাথে আপোস করা হয়, তবে আপনাকে (তত্ত্বগতভাবে, অন্তত) যত তাড়াতাড়ি সম্ভব জানানো উচিত। যে এটা সম্পর্কে কিছু করতে আরো সময় মানে হবে! আপনি যত দ্রুত কাজ করবেন, তত কম এটি আপনাকে প্রভাবিত করবে। কি করা উচিত নয় তার একটি উদাহরণ হিসাবে ইউকে ব্যবসা ব্যবহার করা যাক:Carphone ওয়্যারহাউস ঘোষণা করতে তিন দিন সময় নিয়েছে যে তারা একটি "অত্যাধুনিক সাইবার-আক্রমণের" শিকার হয়েছে৷ 90,000 পর্যন্ত ক্রেডিট কার্ড প্রভাবিত হতে পারে, যদিও এই ডেটা এনক্রিপ্ট করা হয়েছে, তাই ঝুঁকি কমে গেছে৷
এটি দ্বারা প্রভাবিত যে কারো জন্য, কারফোন ওয়্যারহাউস গ্রাহকদের কী করতে হবে তার পরামর্শ দিয়েছে, আপনার ব্যাঙ্কের কার্যকলাপ নিরীক্ষণ করা এবং আপনার ক্রেডিট রেটিং চেক করা সহ। এই ব্যবস্থাগুলি ছাড়াও, আপনার সেই নির্দিষ্ট অ্যাকাউন্টগুলির পাসওয়ার্ডগুলিও পরিবর্তন করা উচিত, সেইসাথে আপনি যেকোনও একই পাসওয়ার্ড ব্যবহার করেন (এবং কীভাবে একটি সুরক্ষিত একটি তৈরি করতে হয় তা শিখুন) এবং প্রতারণামূলক কার্যকলাপের সতর্কতা ফোন কল থেকে সতর্ক থাকুন (বিশেষ করে অপরাধীরা প্রায়শই লাইন খোলা রাখতে পারে, তাই আপনি আপনার ব্যাঙ্কের পরিবর্তে তাদের কল করুন)।
আপনি যদি ক্রেডিট কার্ড জালিয়াতির শিকার হন তবে কী করবেন তার একটি চেকলিস্টের মাধ্যমে যান এবং মনে রাখবেন যে ব্যাঙ্কগুলি আপনাকে কখনই অনলাইনে বা ফোনে জিজ্ঞাসা করবে না৷
বিজ্ঞপ্তিতেও টাকা খরচ হতে পারে। প্রতিটি গ্রাহককে প্রতিটি লঙ্ঘন সম্বন্ধে জানালে তা সম্পদ খেয়ে ফেলে। হ্যাঁ, এটিকে বাইপাস করা কোম্পানিগুলির জন্য আরও ভাল হবে, তবে এর অর্থ হল তারা তাদের নিরাপত্তার সম্ভাব্য গর্তগুলি বন্ধ করতে এবং লঙ্ঘনের তদন্তে মনোযোগ দিতে পারে। কোম্পানিগুলিকে তাদের নিরাপত্তা দুর্বলতা সম্পর্কে কিছু করতে দেখা উচিত, তাদের খ্যাতির ক্ষতি কমানোর চেষ্টা করছে। কারফোন ওয়্যারহাউস ক্ষমা চেয়েছে এবং সাইটগুলিতে অ্যাক্সেস ব্লক করেছে, কিন্তু এখনও পর্যন্ত তারা প্রতারণামূলক কার্যকলাপের শিকার কোনো ব্যক্তিকে অর্থ প্রদান করছে না।
ভালো না খারাপের জন্য?
এটা এখনো আইন নয়। আমি বলছি না এটি একটি আদর্শ পরিস্থিতি। সমানভাবে, এটি শোনার মতো খারাপ হতে হবে না।
গ্রাহকরা আতঙ্কিত হন - এবং এটি একটি বোধগম্য প্রতিক্রিয়া। আপনি কি সেই উদ্বেগ কমাতে চাওয়ার জন্য কোম্পানিগুলোকে দোষারোপ করতে পারেন... এবং এর সুনাম এবং অর্থের ক্ষতি করতে পারেন!
অন্যদিকে, যদি একটি ব্যবসা এই জিনিসগুলি গোপন রাখে, তাহলে আপনি কীভাবে তাদের বিশ্বাস করবেন? আপনি কি তাদের আপনার ব্যক্তিগত তথ্য দেওয়া নিরাপদ বোধ করেন? এবং তারা কি আপনার আস্থার নিশ্চয়তা দেয়?
