Teknopreneur.com- Presiden Obama mengusulkan undang-undang federal baru (12/1) yang akan mewajibkan perusahaan retail untuk melaporkan kepada pelanggan tentang  informasi pribadi mereka dalam waktu 30 hari dari penemuan pelanggaran data.

Beberapa perusahaan menyatakan keprihatinan bahwa 30 hari mungkin bukanlah waktu yang cukup untuk secara akurat menilai lingkup pelanggaran data.

Salah satu hukum federal, yang dikenal sebagai Personal Data Notification & Protection Act, akan merubah persyaratan pemberitahuan yang berbeda dalam hampir empat lusin negara. Pasalnya saat ini, hampir setiap negara memiliki hukum yang berbeda mengenai hal ini dan itu yang membingungkan bagi konsumen dan juga membingungkan bagi perusahaan.

“Kadang-kadang orang-orang bahkan tidak mengetahui informasi kartu kredit mereka telah dicuri sampai mereka melihat biaya pada tagihan mereka dan ternyata sudah terlambat,” kata Obama dalam pidato sebelum Federal Trade Commission.

Salam usulannya ini perlu diketahui, bahwa waktu yang diperlukan untuk menentukan tingkat pelanggaran data tergantung pada kecanggihan serangan dan forensik yang diperlukan untuk mencari tahu apa yang terjadi.

“Kadang-kadang dapat dilakukan dengan cepat, tapi dalam kasus lain mungkin dibutuhkan waktu berbulan-bulan,” ungkap Dave Frymier, Kepala Petugas Keamanan Informasi dari Unisys Corporation. Frymier bahkan merekomendasikan tidak perlu kerangka waktu tertentu dalam hukum.

National Retail Federation pun mendukung usulan Obama, dengan mengatakan mendukung presiden dalam usahanya untuk memberlakukan cyber dan keamanan data kebijakan yang melindungi konsumen dari penjahat cyber.

Namun, senada dengan Frymier, David French wakil presiden senior untuk hubungan pemerintah di National Retail Federation mengatakan butuh waktu untuk melakukan penyelidikan untuk mencari tahu apa yang terjadi, untuk memperbaiki sistem dan berkoordinasi dengan penegak hukum.

“Pengecer mungkin tahu sedikit tentang pelanggaran, tapi tidak cukup,” katanya.

Kemungkinan yang akan terjadi menurut  Ken Dort, mitra dalam firma hukum Drinker Biddle di mana ia telah mengawasi banyak penyelidikan yang melibatkan pelanggaran data. Jika perusahaan sudah tahu pasti apa yang terjadi, 30 hari adalah waktu yang lebih dari cukup untuk memberitahu konsumen. Namun ia menambahkan surat pemberitahuan pelanggaran tidak dapat dikirimkan kecuali di dalam surat sudah diketahui apa saja yang telah terjadi pada kasus pelanggaran itu.

Menanggapi hal ini, Managing director di Dulles, Drew Kilbourne mengatakan bahwa sebuah tindakan terburu-buru untuk pengungkapan kadang-kadang bisa menghambat penelitian oleh penegak hukum dan pihak-pihak lain.

“Seringkali pelanggaran tidak segera diungkapkan agar tidak membocorkan penyerang bahwa mereka telah ditemukan, untuk kemudian mempelajari sistem serangan yang dipakai, kemungkinan serangan baru juga melakukan atribusi selanjutnya,” tambah Kilbourne.

 

Foto: REUTERS