Хабрахабр

[Перевод] Прекратите говорить о «серьёзном отношении к безопасности и приватности пользователей»

«Мы серьёзно относимся к вашей приватности и безопасности». Все те годы, что я пишу о кибербезопасности, я сталкиваюсь с вариациями одной и той же лжи, возвышающейся над остальными.

Это распространённый речевой оборот, используемый компаниями после какой-нибудь утечки данных – либо в письме с извинениями к клиентам, либо на странице сайта, где компания рассказывает, как ценит ваши данные, хотя в следующем предложении так часто упоминается, как она допустила их утечку или использовала неправильно. Вы могли сталкиваться с такой фразой то здесь, то там.

Они беспокоятся только, когда им приходится объяснять клиентам, что их данные были украдены.
Я никогда не мог понять, что конкретно означает заявление компании о том, что она ценит мою приватность. На самом же деле большинству компаний наплевать на приватность и безопасность ваших данных. Если бы это было так, то такие жадные до данных компании, как Google и Facebook, продающие вашу информацию рекламодателям, просто не существовали бы.

Я собрал все уведомления, отправленные генеральному прокурору штата Калифорния, которые компании обязаны по закону отправлять после каждой обнаруженной проблемы с безопасностью, свёл их вместе и превратил в машино-читаемый текст. Мне стало интересно, как часто используется это выражение.

Примерно в 30% из всех 285 уведомлений встретились подобные выражения.

Это говорит о том, что они не знают, что делать дальше. И это не говорит о том, что компании беспокоятся о наших данных.

На прошлой неделе мы сообщали о том, что несколько пользователей сервиса OkCupid пожаловались на взлом их учётных записей. Прекрасный пример компании, которой всё равно. Другие компании были научены опытом таких атак и потратили время на усиление безопасности, к примеру, введя двухфакторную аутентификацию. Скорее всего, взлом провели через подбор учётных данных [credential stuffing], когда хакеры берут список имён пользователей и паролей и пытаются методом простого перебора войти в учётную запись.

Выглядело это так: Но вместо этого OkCupid избрал подход отвлечения, оправдания и отрицания, что часто бывает, когда компании пытаются сгладить отрицательное впечатление.

Отвлечение: «Все сайты периодически подвергаются попыткам взлома», заявила компания.
Оправдание: «Тут не о чем рассказывать», сказал компания в другой статье.
Отрицание: «Без комментариев», в ответ на вопрос о том, что компания собирается делать.

Было бы неплохо услышать, как OkCupid рассказывает, что беспокоится насчёт этого, и что собирается с этим сделать.

Большая часть современных взломов происходит в результате низкопробной поддержки безопасности, длившейся годами, а иногда и десятилетиями. Все индустрии давно пренебрегают безопасностью. Сегодня каждой компании приходится заниматься безопасностью – будь то банк, изготовитель игрушек или разработчик приложения.

Основатели стартапов могут с самого начала взять человека на должность директора по безопасности. Начать можно с малого: рассказать людям, как сообщить компании о недостатках, связанных с безопасностью, предложить награду за ошибки, чтобы поощрять подобные сообщения и пообещать добросовестным исследователям не подавать на них в суд. И тогда они окажутся в лучшем положении, чем 95% богатейших компаний мира, которые об этом не позаботились.

Компаниям проще заплатить штрафы. Но такого не происходит.

Anthem заплатила $115 после взлома, поставившего под угрозу данные 79 млн владельцев страховок, а заработала в тот год $79 млрд. Target заплатила $18,5 млн за взлом, повлекший утечку информации о 41 млн кредиток, при том, что доход компании за год составил $72 млрд. Крупнейшая утечка данных 2017 года не привела ни к чему, кроме разговоров. Помните Equifax?

А вместо этого им стоило бы что-то предпринять на этот счёт. Без мотивации к изменениям компании будут продолжать бездумно повторять свои пустые обещания.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть