<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 5, 2014 at 11:14 AM, ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank">iang@iang.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I often point out that our security model thinking is typically informed by "stopping all breaches" rather than "doing less damage."  Here's some indication of damage.<br>
<br>
<a href="http://bits.blogs.nytimes.com/2014/12/04/banks-lawsuits-against-target-for-losses-related-to-hacking-can-continue/?smid=tw-nytimestech&seid=auto&_r=0" target="_blank">http://bits.blogs.nytimes.com/<u></u>2014/12/04/banks-lawsuits-<u></u>against-target-for-losses-<u></u>related-to-hacking-can-<u></u>continue/?smid=tw-nytimestech&<u></u>seid=auto&_r=0</a><br>
<br>
...<br>
The ruling is one of the first court decisions to clarify the legal confusion between retailers and banks in data breaches. In the past, banks were often left with the financial burden of a hacking and were responsible for replacing stolen cards. The cost of replacing stolen cards from Target’s breach alone is roughly $400 million — and the Secret Service has estimated that some 1,000 American merchants may have suffered from similar attacks.<br>
<br>
The Target ruling makes clear that banks have a right to go after merchants if they can provide evidence that the merchant may have been negligent in securing its systems.<br>
...<br>
<br>
At the time of its breach last year, Target had installed a $1.6 million advanced breach detection technology from the company FireEye.<br>
<br>
But according to several people briefed on its internal investigation who spoke on the condition of anonymity, the technology sounded alarms that Target did not heed until hackers had already made off with credit and debit card information for 40 million customers and personal information for 110 million customers.<br></blockquote><div><br></div><div>This suggests that it is Target's responsibility to maintain the security of the card payment system rather than the banks</div><div><br></div><div>I do not agree. The banks have had ten years to deploy chip and pin which would eliminate the breach. That was pure negligence on their part. Target should not be held responsible when the banks decided that it would be cheapest for them to not bother with card security.</div><div><br></div><div>This has worked out fine for the banks for as long as they have been able to achieve cost shifting for the inevitable breaches. But they are the party that is best placed to mitigate this risk so why should they be able to recoup their losses from someone else?</div><div> </div></div></div></div>