La masiva violación de datos de Equifax hizo que millones de estadounidenses se sintieran extraordinariamente vulnerables. Más de 140 millones de personas -es decir, más de la mitad de los adultos del país, incluidos más de 8 millones de neoyorquinos- parecen haber sido víctimas de que su información personal más sensible se haya revelado. Mi oficina ya ha abierto una investigación para determinar exactamente lo que pasó.
La escala de esta violación y la gravedad de la invasión de privacidad es alarmante y sin precedentes. Pero era totalmente previsible. Es en muchos sentidos simplemente una escalada en una tendencia inquietante de lo que yo llamo mega-infracciones. El año pasado, hubo 1.300 violaciones significativas de datos en Nueva York – un 60% más que el año anterior.
Estas violaciones son inexcusables, y no debemos simplemente aceptarlas como parte de vivir en una sociedad en línea. La violación de Equifax arriesgó la capacidad de millones de personas para comprar una casa, iniciar un negocio, incluso conseguir un trabajo.
Según informó mi oficina en un informe que publicamos a principios de este año, "La información expuesta: examen histórico de seguridad de datos en el estado de Nueva York", la piratería (“hackeo”) representó más del 40% de las violaciones de seguridad de datos en 2016.
Todos tenemos miedo de la piratería – y debemos estarlo. Se ha convertido en el terror de la seguridad de los datos. Sin embargo, aunque es sin duda un factor importante en el aumento de los impactos de las violaciones de datos, no es el único contribuyente significativo. El pasado año, la negligencia de empleados -una combinación de exposición inadvertida de los registros, delincuencia interna y la pérdida de un equipo, dispositivo o medio – estuvo cerca de empatar con la piratería informática, representando el 37% de las infracciones. No tiene por qué ser así. Podemos y debemos exigir más de las empresas a quienes se confían nuestros datos personales.
Desde hace varios años, he estado presionando para que se haga una revisión importante de las leyes de seguridad de datos de Nueva York para finalmente ponerlas en acorde con la realidad de nuestras amenazas actuales. La violación de Equifax da aún más urgencia a esa lucha. Es por eso que es esencial que Albany apruebe la Ley de Seguridad de Datos de Nueva York, que busca incentivar a las compañías para reforzar sus defensas cibernéticas y proporcionar directrices de sentido común de seguridad de datos que las compañías tengan que cumplir.
Primero, todas las entidades que recopilan o almacenan información privada tendrían que tener medidas de seguridad "razonables" para proteger nuestra información, un estándar legal común que tome en cuenta el tamaño de la compañía y el tipo de información que guarda. Una pequeña ferretería familiar debería tener medidas de seguridad "razonables" muy diferentes a las de una agencia multinacional de informes crediticios, por ejemplo.
Estas medidas deben incluir salvaguardias administrativos tales como asignar la responsabilidad de la seguridad a un empleado en particular; salvaguardas técnicas tales como programas antivirus y salvaguardas físicas tales como cerraduras para proteger las áreas físicas donde se almacena la información.
En segundo lugar, el proyecto de ley actualizaría la definición de "información privada" para incluir datos biométricos y la combinación de una dirección de correo electrónico y una contraseña. California ya ha hecho esto, y el fracaso de Nueva York de hacerlo es una deficiencia importante en la protección de los consumidores de nuestro estado. Finalmente, el proyecto de ley ofrecería un puerto seguro a las empresas que ya están sujetas a las regulaciones federales u otras del Estado de Nueva York, y están en cumplimiento con esas reglas, para que no tengan que preocuparse por los requisitos que se superponen o conflictúan.
Del mismo modo, se presumirá que las empresas que están certificadas para cumplir con las directrices de seguridad de datos de la industria líder tienen una seguridad de datos razonable. Si una empresa está tratando de proteger los datos de sus clientes con seriedad y proactividad, este puerto seguro constituye un incentivo importante para que las compañías aumenten su seguridad.
Este tipo de disposiciones de sentido común son las razones por las que mi propuesta ha obtenido el apoyo de importantes grupos empresariales como la Asociación para la Ciudad de Nueva York y los expertos en ciberseguridad de los principales bufetes de abogados. Sin embargo, por alguna razón, el Senado estatal se ha negado a someterlo a la votación.
Nuestros sistemas de datos son defectuosos y, sin una reforma de sentido común, las violaciones futuras serán sólo más grandes y devastadoras.
Debemos ver la infracción de Equifax como un estímulo para la acción. Depende de nosotros hacer que nuestros datos personales estén más seguros.