Por que as empresas enviam alertas confusos sobre violações de dados

: By Laurel Thomas

Por que as empresas enviam alertas confusos sobre violações de dados?

Segundo uma nova pesquisa, as notificações que as empresas enviam aos consumidores sobre violações de dados carecem de clareza e podem aumentar a confusão dos clientes sobre se seus dados estão em risco.

Com base em pesquisas anteriores que mostraram que os consumidores geralmente tomam poucas medidas ao se depararem com violações de segurança, os pesquisadores analisaram as notificações de violação de dados enviadas pelas empresas aos consumidores para verificar se essas comunicações poderiam ser responsáveis por parte dessa inação.

Eles descobriram que 97% das 161 notificações analisadas eram difíceis ou bastante difíceis de ler, com base em métricas de legibilidade, e que a linguagem usada nelas pode ter contribuído para a confusão sobre se o destinatário da comunicação estava em risco e deveria tomar alguma providência.

“Para a maioria das empresas, essas notificações são vistas apenas como uma exigência para cumprir as leis de notificação de violação de dados…”

“Nossa análise mostra que exigir por lei que as empresas enviem notificações de violação de dados não é suficiente”, afirma Yixin Zou, doutorando da Universidade de Michigan.

“É importante garantir que informações importantes, como o que aconteceu e o que os consumidores devem fazer para se proteger, sejam comunicadas nessas notificações de uma forma que seja compreensível e que permita aos consumidores tomarem medidas práticas.”

Citando estatísticas do Privacy Rights Clearinghouse, os autores observam que em 2017 ocorreram 853 violações de dados que comprometeram 2.05 bilhões de registros, incluindo nomes de consumidores, informações de contato, números de contas, detalhes de cartões de crédito, números de segurança social, registros de compras, postagens e mensagens em mídias sociais e registros de saúde.

Em resposta, a maioria dos países, incluindo os Estados Unidos, adotou leis de notificação de violação de dados. Nos EUA, cada estado possui sua própria lei de violação de dados, o que significa que o limite para quando as empresas devem notificar os consumidores, o prazo para o envio das notificações após uma violação e o formato dessas notificações variam de estado para estado.

“Há poucos incentivos para que as empresas invistam em tornar as notificações de violação de dados mais fáceis de usar.”

Isso permite muita liberdade para as empresas usarem termos de atenuação que minimizam o risco — usando frases como "você pode ser afetado" e "é provável que você seja afetado" em 70% das notificações e dizendo "neste momento, não temos evidências de que os dados expostos estejam sendo usados indevidamente" em 40% dos casos.

Segundo os pesquisadores, isso também permite uma falta de consistência na abordagem da causa da violação, da data de ocorrência e do tempo de exposição.

“Há poucos incentivos para que as empresas invistam em tornar as notificações de violação de dados mais fáceis de usar”, afirma Florian Schaub, professor assistente da Escola de Informação.

“Para a maioria das empresas, essas notificações são vistas apenas como uma exigência para cumprir as leis de notificação de violação de dados, em vez de uma forma de educar e proteger seus clientes. Precisamos repensar e reformular leis de proteção ao consumidor como essas para garantir que as notificações das empresas sejam realmente úteis aos consumidores”, afirma Schaub.

A maioria das leis estaduais exige que as empresas notifiquem os consumidores afetados por meio de cartas ou telefone. E-mails, anúncios em sites, comunicados à mídia estadual ou outros métodos eletrônicos geralmente são usados como substitutos. O estudo mostra um padrão consistente, com 95% das notificações analisadas sendo enviadas pelo correio. Os pesquisadores afirmam que a lentidão do envio de uma carta pelo correio pode aumentar o tempo em que os consumidores permanecem sem saber da violação de dados.

Os pesquisadores compartilharam seu trabalho na Conferência CHI sobre Fatores Humanos em Computação, em Glasgow, na Escócia.

Fonte: Universidade de Michigan

Livros relacionados

{amazonWS:searchindex=Livros;keywords=segurança de dados pessoais;maxresults=3}

quebrar

Obrigado pela visita InnerSelf.com, onde existem 20,000+ Artigos que transformam vidas, promovendo "Novas Atitudes e Novas Possibilidades". Todos os artigos são traduzidos para Mais de 30 idiomas. Subscrever para a revista InnerSelf, publicada semanalmente, e para a coluna Daily Inspiration de Marie T Russell. Revista InnerSelf É publicado desde 1985.