De meddelelser, som virksomheder sender forbrugere om databrud, mangler klarhed og kan tilføje kundeforvirring om, hvorvidt deres data er i fare, ifølge ny forskning.
På baggrund af deres tidligere forskning, der viste, at forbrugere ofte tager lidt skridt, når de står over for sikkerhedsbrud, analyserede forskerne de dataovertrædelsesmeddelelser, som virksomheder sendte til forbrugerne for at se, om kommunikationen måske var ansvarlig for noget af passiviteten.
De fandt ud af, at 97 procent af de 161 stikprøvebeskeder var vanskelige eller forholdsvis vanskelige at læse baseret på læsbarhedsmålinger, og at det anvendte sprog i dem måske har bidraget til forvirring om, hvorvidt modtageren af kommunikationen var i fare og skulle tage handling.
“For de fleste virksomheder betragtes disse meddelelser kun som et krav for at overholde lovgivning om databeskyttelse ...”
"Vores analyse viser, at det ikke er tilstrækkeligt at kræve, at virksomheder ifølge loven sender underretninger om databrud alene," siger Yixin Zou, en doktorand ved University of Michigan.
”Det er vigtigt at sikre, at vigtig information, såsom hvad der skete, og hvad forbrugerne skal gøre for at beskytte sig selv, kommunikeres i disse meddelelser på en måde, der er forståelig og handlingsbar for forbrugerne.”
Med henvisning til statistik fra Privacy Rights Clearinghouse bemærker forfatterne, at der i 2017 var 853 data, der kompromitterede 2.05 milliarder poster, som omfattede forbrugernavne, kontaktoplysningskontonumre, kreditkortoplysninger, socialsikringsnumre, indkøbs- og indkøbsposter, sociale medier indlæg og meddelelser og sundhedsregistreringer.
Som svar vedtog de fleste lande, herunder USA, love om overtrædelse af databeskyttelse. I USA har hver stat sin egen lov om databrud, hvilket betyder, at tærsklen for, hvornår virksomheder skal underrette forbrugere, hvor hurtigt efter en overtrædelse de skal sende underretninger, og hvordan denne meddelelse skal se ud, varierer mellem stater.
"Der er lidt incitament for virksomhederne til at investere i at gøre meddelelser om databrud mere brugbare."
Dette giver virksomhederne stor frihed til at bruge hækningsudtryk, der bagatelliserer risikoen - ved at bruge sætninger som "du kan blive påvirket" og "du sandsynligvis vil blive påvirket" i 70 procent af underretningerne og siger "på dette tidspunkt har vi ingen beviser for, at de er udsat data misbruges ”40 procent af tiden.
Det tillader også en mangel på konsistens i håndteringen af årsagen til overtrædelsen, datoen for forekomsten og mængden af eksponeringstid, siger forskerne.
”Der er lidt incitament for virksomhederne til at investere i at gøre meddelelser om databrud mere anvendelige,” siger Florian Schaub, en assisterende professor ved School of Information.
”For de fleste virksomheder betragtes disse meddelelser kun som et krav for at overholde lovgivningen om databeskyttelse i stedet for en måde at uddanne og beskytte deres kunder på. Vi er nødt til at genoverveje og omarbejde forbrugerbeskyttelseslove som disse for at sikre, at virksomhedernes anmeldelser faktisk er nyttige for forbrugerne, ”siger Schaub.
De fleste statslove kræver, at virksomheder underretter de berørte forbrugere i skriftlige breve eller telefonisk. E-mails, webstedsmeddelelser, meddelelser til statslige medier eller andre elektroniske metoder er normalt erstatninger. Undersøgelsen viser et konsistent mønster med 95 procent af de analyserede meddelelser leveret med posten. Forskerne siger, at den langsomme hastighed på et brev med brev kan øge den tid, hvor forbrugerne forblev uvidende om overtrædelsen.
Forskerne delte deres arbejde på CHI Conference on Human Factors in Computing i Glasgow, Skotland.
Kilde: University of Michigan
Relaterede bøger
at InnerSelf Market og Amazon
