Hari-hari mencari tahu tentang pelanggaran data yang memengaruhi data pribadi Anda beberapa bulan setelah fakta mungkin akan segera menjadi masa lalu — setidaknya dalam hal peretasan yang memengaruhi operator telekomunikasi. Komisi Komunikasi Federal telah mengusulkan aturan baru, yang mengharuskan penyedia telepon dan internet untuk memberi tahu pelanggan tentang pelanggaran lebih cepat.
“Proses baru ini akan mengambil pandangan baru yang sangat dibutuhkan pada aturan pelaporan pelanggaran data kami untuk melindungi konsumen dengan lebih baik, meningkatkan keamanan, dan mengurangi dampak pelanggaran di masa depan,” kata Ketua FCC Jessica Rosenworcel dalam pernyataan pers. Meskipun undang-undang negara bagian, seperti yang ada di California, memiliki standar yang lebih terkini dan ketat, peraturan federal yang sudah ada sebelumnya berusia 15 tahun, dan kemungkinan besar sangat perlu diperbarui.
Saat ini, ada masa tunggu minimum tujuh hari kerja yang diamanatkan federal antara penemuan pelanggaran dan saat perusahaan dapat memberi tahu pelanggan mereka tentang hal itu. Perubahan yang direkomendasikan FCC akan menghapus masa tunggu itu dan sebagai gantinya mengharuskan operator untuk memberi tahu pelanggan tentang peretasan dan masalah keamanan lainnya “tanpa penundaan yang tidak masuk akal setelah ditemukan”.
Dengan kata lain: jumlah waktu antara saat peretas mendapatkan data sensitif orang-orang dan saat mereka yang terkena dampak mengetahuinya bisa menjadi jauh lebih singkat—sehingga lebih mudah untuk mengambil tindakan perlindungan dini seperti membatalkan kartu kredit atau mengubah kata sandi.
Alasan di balik penantian 7 hari itu adalah agar perusahaan telekomunikasi memiliki waktu untuk melaporkan pelanggaran ke “lembaga investigasi terkait” sebelum mereka memberi tahu pelanggan, dan agar badan investigasi dapat mengukur risikonya kepada publik, menurut proposal tersebut. Namun, peretas menargetkan operator telekomunikasi lebih dari sebelumnya, dan apa yang dipertaruhkan bagi publik menjadi semakin jelas.
G/O Media dapat memperoleh komisi
Kita menjalani hampir seluruh hidup kita di ponsel kita atau melalui internet dan perusahaan telekomunikasi memiliki informasi ekstensif tentang pelanggan mereka, termasuk (namun tidak terbatas pada) data panggilan, lokasi, detail perangkat keras, dan info penagihan dan keuangan. Data yang dicuri dapat dibeli dan dijual di web gelap dalam sekejap, membuat korban berisiko pencurian identitas dan dampak finansial dan privasi utama lainnya.
“Dalam industri telekomunikasi, publik telah mengalami peningkatan jumlah pelanggaran keamanan informasi pelanggan dalam beberapa tahun terakhir,” catat proposal aturan tersebut. Pelanggaran data di semua sektor naik 70% hanya dalam beberapa bulan terakhir di tahun 2022, menurut salah satu analisis dari Majalah Infosecurity.
Dan semuanya sudah sangat buruk sebelum itu. Pada tahun 2021, analisis terpisah menemukan bahwa lebih dari 13 penyedia telekomunikasi global yang berbeda telah disusupi oleh satu kelompok peretas hanya dalam dua tahun. Baik T-Mobile dan AT&T dilaporkan mengalami peretasan data yang memengaruhi puluhan juta pelanggan, dan mengungkapkan data sensitif termasuk nomor jaminan sosial, dan info SIM. AT&T membantah adanya pelanggaran, tetapi T-Mobile akhirnya menerima $500 juta atas insidennya sendiri. Sebelumnya, pelanggan T-Mobile menjadi korban pelanggaran serupa pada 2019 dan 2015.
Gizmodo menjangkau T-Mobile, AT&T, Verizon, dan Comcast untuk melihat pendapat penyedia telekomunikasi terbesar AS tentang proposal FCC, tetapi tidak ada perusahaan yang segera menanggapi.
Selain memastikan pelanggan mempelajari peretasan lebih cepat, perubahan yang diusulkan juga akan memperluas definisi pelanggaran data, di antara penyesuaian kecil lainnya. Pengungkapan informasi pelanggan yang tidak disengaja atau tidak disengaja akan jatuh di bawah payung pelanggaran data. Jadi, jika operator gagal—bahkan tanpa campur tangan eksternal—pelanggan perlu diberi tahu.
Tetapi melembagakan perubahan ini tidak 100% mudah. Proposal FCC mencatat kekhawatiran tentang membahayakan investigasi kriminal jika operator dipaksa untuk segera memberi tahu pelanggan tentang pelanggaran. Sebagai celah, aturan baru dapat memungkinkan agen federal untuk menunda pemberitahuan hingga 30 hari—yang tidak akan menyelesaikan masalah ketepatan waktu. Komisi juga bekerja memikirkan bagaimana menangani operator yang lebih kecil dan jika / bagaimana melembagakan batas waktu periode pemberitahuan. Selanjutnya, FCC meminta masukan publik tentang apakah pemberitahuan pelanggaran harus mencakup informasi spesifik tentang apa yang bocor dan cara terbaik untuk mengelolanya. Segera, proposal akan terbuka untuk komentar, dan Anda dapat memberi tahu FCC pemikiran Anda.