Maureen Ohlhausen หนึ่งในกรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ไปร่วมเวทีเสวนาของ The Heritage Foundation ถึงประเด็นความปลอดภัยของข้อมูลออนไลน์ ระบุว่าในกรณีที่ FTC เข้าไปสอบสวนคดีข้อมูลรั่วไหล จะสามารถปิดคดีได้ถึง 70% จนถึงตอนนี้สามารถตกลงการชดเชยในกรณีต่างๆ ได้ถึง 60 กรณีแล้ว

นอกจากการทำงานปิดคดีข้อมูลรั่วไหลแล้ว FTC ยังพยายามทำความเข้าใจกับกระบวนการออกใบรับรองมาตรฐานความปลอดภัย โดยเฉพาะมาตรฐาน PCI-DSS ที่ใช้ตรวจสอบหน่วยงานที่เก็บข้อมูลบัตรเครดิต

Ohlhausen ยกกรณีบริษัท LifeLock ที่ถูก FTC ปรับเพราะโฆษณาว่าสามารถป้องกันการขโมยตัวตน (identity theft) ได้อย่างแน่นอน พร้อมระบุว่า ข้อมูลที่ส่งให้ LifeLock จะถูกเก็บรักษาอย่างปลอดภัย พนักงานที่เข้าถึงได้จะมีจำกัด, ข้อมูลทั้งหมดถูกเข้ารหัส, และมีกระบวนการจัดการที่แน่นหนา แต่ FTC ระบุว่าข้อมูลไม่ได้เข้ารหัสจริง, ข้อมูลถูกแชร์มากกว่าที่จำเป็น, และระบบมีช่องโหว่ที่อาจจะถูกโจมตีได้

กรณีของ LifeLock บริษัทอ้างว่าได้รับการรับรอง PCI-DSS แล้ว แต่เมื่อปลายที่ผ่านมาบริษัทก็ยังถูกปรับเพิ่มเติมอีก 100 ล้านดอลลาร์ จากข้อกล่าวหาระบุว่าบริษัทไม่ได้ปรับปรุงความปลอดภัยระบบจนเพียงพอ กรณีนั้น Ohlhausen ไม่เห็นด้วยกับโทษปรับของ FTC แต่โหวตแพ้ไป 3 ต่อ 1 เสียง เธอยืนยันว่าบังคับรักษาความเป็นส่วนตัวต้องสมเหตุสมผล โดยชั่งน้ำหนักทั้ง ขนาดบริษัท, ความซับซ้อนในการทำงาน, ปริมาณข้อมูลที่บริษัทถือไว้, และค่าใช้จ่ายของเครื่องมือในการปรับปรุงความปลอดภัย

FTC กำลังทำความเข้าใจกับกระบวนการรับรองมาตรฐานความปลอดภัย ตอนนี้ FTC ส่งคำสั่งขอข้อมูลไปยังบริษัทที่ให้การรับรอง PCI รวม 9 บริษัท เพื่อสอบถามว่ากระบวนการออกใบรับรองเป็นอย่างไร

ที่มา - ThreatPost