แผนกความมั่นคงแห่งมาตุภูมิกำลังสรุปแนวปฏิบัติที่ดีที่สุดที่หน่วยงาน รัฐและรัฐบาลท้องถิ่น และองค์กรอื่น ๆ ที่เกี่ยวข้องกับการละเมิดทางไซเบอร์สามารถใช้เพื่อแจ้งให้เหยื่อทราบคำแนะนำนี้ให้ข้อเสนอแนะเกี่ยวกับกระบวนการตัดสินใจในการแจ้งบุคคลที่ได้รับผลกระทบ การเตรียมการและการส่งหนังสือแจ้ง ข้อกังวลเกี่ยวกับ “การแจ้งเหตุมากเกินไป” และการสนับสนุนเพิ่มเติมสำหรับผู้ประสบภัย
คณะกรรมการที่ปรึกษาด้านความเป็นส่วนตัวและความซื่อสัตย์ของข้อมูล DHS
ได้ร่างเอกสารหลังจากที่ Karen Neuman อดีตหัวหน้าเจ้าหน้าที่ด้านความเป็นส่วนตัวของ DHS ได้ขอให้คณะกรรมการในเดือนกันยายน 2015 พัฒนาแนวทางปฏิบัติที่ดีที่สุดเป็นลายลักษณ์อักษรสำหรับการแจ้งเตือนผู้ที่ตกเป็นเหยื่อการละเมิดข้อมูล
คณะกรรมการได้ทำการเปลี่ยนแปลงเล็กน้อยและอนุมัติ ร่างแนวทางปฏิบัติที่ดีที่สุดขั้นสุดท้ายในการประชุมคณะกรรมการเมื่อวันที่ 21 กุมภาพันธ์
CX Exchange ของ Federal News Network: เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
“เราสามารถทำงานสำคัญของเราได้ ดังนั้นน่าเสียดายที่ฉันกลัวว่าครั้งต่อไปสิ่งนี้จะเกิดขึ้น เราจะพร้อมสำหรับมัน และเราสามารถตอบสนองได้อย่างรวดเร็วและเหมาะสม” Jonathan Cantor รักษาการหัวหน้าเจ้าหน้าที่ความเป็นส่วนตัวของ DHS กล่าวในระหว่างการประชุมของแผนกเมื่อเดือนที่แล้ว
กระบวนการตัดสินใจ
ในการตัดสินใจว่าจะแจ้งบุคคลที่ได้รับผลกระทบเกี่ยวกับการละเมิดทางไซเบอร์หรือไม่และอย่างไร คณะกรรมการ DHS แนะนำให้ทำการวิเคราะห์ความเสี่ยงก่อน
องค์กรควรคำนึงถึงลักษณะของข้อมูลที่ถูกบุกรุกและความละเอียดอ่อน การละเมิดข้อมูลประกันสังคมหรือข้อมูลทางการแพทย์ถูกขโมย เช่น
“การวิเคราะห์ที่นำไปสู่การตัดสินใจเกี่ยวกับการแจ้งเตือนจะต้องดำเนินการอย่างรวดเร็ว เนื่องจากทั้งข้อกำหนดทางกฎหมายและผลประโยชน์ของผู้ที่ได้รับผลกระทบจำเป็นต้องมีการแจ้งเตือนโดยทันที” ร่างฉบับสุดท้ายกล่าว “สิ่งสำคัญคือต้องแสวงหาความสมดุลระหว่างความต้องการความเร็วและความต้องการข้อมูลที่ถูกต้องในประกาศ”
เพื่อให้บรรลุความสมดุลนั้น องค์กรควรพิจารณาว่ารายละเอียดของการละเมิดเปิดเผยต่อสาธารณะแล้วหรือไม่ และทราบรายละเอียดของขอบเขตของการโจมตีหรือไม่
“การแจ้งเตือนที่กว้างเกินไปอาจทำให้ผู้คนตื่นตระหนกโดยไม่จำเป็น ซึ่งจากการตรวจสอบเพิ่มเติม อาจไม่ได้รับผลกระทบใดๆ” เอกสารร่างฉบับสุดท้ายระบุ “แต่อาจเป็นไปไม่ได้เลยที่จะบรรลุความรู้ที่สมบูรณ์แบบ และการแจ้งที่ล่าช้าเป็นเวลานานอาจส่งผลเสียต่อผู้คนจำนวนมากขึ้น”
จัดทำและจัดส่งหนังสือแจ้ง
คณะกรรมการ DHS แนะนำให้องค์กรสร้างเทมเพลตจดหมายแจ้งเตือนที่สามารถปรับเปลี่ยนได้ตามสถานการณ์ องค์กรต่างๆ ควรส่งจดหมายแจ้งเตือนผ่านทางไปรษณีย์ชั้นหนึ่ง ซึ่งมีแนวโน้มที่จะไปถึงผู้รับที่ตั้งใจไว้ คณะกรรมการกล่าว
จดหมายหรืออีเมลไม่ควรดูเหมือนเมลขยะหรือจดหมายจากแหล่งที่ไม่คุ้นเคย ควรเขียนด้วยภาษาธรรมดาที่มีคำย่อน้อยและศัพท์แสงน้อย
