U svetu napredne tehnologije, sajber napadi su u porastu, uzrokujući potencijalni rizik od ukradenih ličnih podataka kod 400 miliona korisnika. Kao odgovor, vlade u svih 50 država uvele su zakone o obaveštavanju o kršenju (BNL) kojima se obavezuje da kompanije obaveste potrošača ako su njihovi podaci povređeni.
U nedavno objavljenom radu za časopis Pregled prava i ekonomije, Bred Grinvud, profesor informacionih sistema na Poslovnom koledžu Donald G Kostelo na Univerzitetu Džordž Mejson, otkriva da BNL-ovi imaju mali ili nikakav uticaj na ukupnu bezbednost i zaštitu.
Greenvoodov koautor je bio Pol M. Vaaler sa Univerziteta Minesota.
Istraživači su koristili podatke iz Centra za zaštitu prava privatnosti (PRC), organizacije koja organizuje detalje o kršenju podataka u firmama od 2005. Podaci iz PRC-a uključuju informacije o firmama koje su prekršene, lokacijama, uzrocima i broju kompromitovanih zapisa. Istraživači su koristili dvosmerni dizajn fiksnih efekata, takođe poznat kao procene „razlike u razlikama“.
Ovo je da se proceni uticaj BNL-a na broj i veličinu događaja kršenja podataka u različitim američkim državama od 2005. do 2019. Uz korišćenje alternativnih podataka iz FTC-ovog Consumer Sentinel Netvork Data Book-a, oni su takođe istražili uticaj BNL-a na nastavak broj i razmere prevara i krađe identiteta.
Dobijeni nalazi ukazuju na to da nema dokaza za smanjenje incidenata povrede podataka ili dugoročno smanjenje zloupotrebe podataka nakon kršenja. Grinvud kaže: „Nedostatak značaja je toliko upadljiv da biste očekivali da ćemo u nekom trenutku dobiti nasumičan značaj. Ovo sugeriše da BNL-ovi možda nisu postigli svoje planirane ciljeve smanjenja broja povreda podataka.
Grinvud sugeriše neke od razloga za neuspeh BNL-a. Cilj BNL-a je da podstakne kompanije da više ulažu u sajber bezbednost, kako bi se izbegla šteta po reputaciju koja proističe iz otkrivanja kršenja.
Ali Grinvud kaže da je snaga tog podsticaja prigušena „opštom otupljenošću“ u javnosti o neuspesima u sajber bezbednosti. Da bi se kompanije motivisale da preduzmu ozbiljne mere, „mora da postoji ekonomska isplata da to urade ili ekonomska kazna za neuspeh“, kaže on.
Greenvood i njegov koautor predlažu nekoliko mogućih alternativa ili dodataka BNL-ovima. Jedan predlog uključuje da Federalna komisija za trgovinu dodeljuje ocenu sajber bezbednosti svim američkim kompanijama iznad određene veličine, što olakšava ljudima da upoređuju kompanije na osnovu njihovog učinka u oblasti sajber bezbednosti.
Grinvud dodaje da bi „savezno zakonodavstvo moglo nalagati minimalne bezbednosne protokole, kao što su dobro prihvaćeni standardi iz NIST-a, koji bi uspostavili barem zakonski pod za očekivano ponašanje“.
Druga moguća alternativa bi bile promene trenutnog režima pravne odgovornosti. Trenutno je standard materijalne štete za podnosioce zahteva visok, što otežava tužbe kompanijama. „Sudska praksa se na neki način razvija u vezi sa ovim. Sudovi počinju da shvataju da je vreme koje ljudi moraju da potroše na čišćenje nereda u oblasti sajber bezbednosti štetno, naplativo. Ali to je još uvek prilično uzak prozor [za utvrđivanje materijalne štete].“
„Budućnost je očigledno neizvesna u pogledu zaštite potrošača“, zaključuje Grinvud. „Ali jedna stvar koju sigurno znamo je da trenutni režim zaštite ne funkcioniše ni za koga osim za same sajber kriminalce.“