Deja de hablar de "tomar en serio la seguridad y la privacidad"



Todos los a√Īos que escribo sobre ciberseguridad, me he encontrado con variaciones de la misma mentira que se destaca por encima del resto. "Nos tomamos en serio su privacidad y seguridad".

Puede encontrar una frase as√≠ aqu√≠ y all√°. Esta es una rotaci√≥n de discurso com√ļn utilizada por las compa√Ī√≠as despu√©s de alg√ļn tipo de fuga de datos, ya sea en una carta de disculpa a los clientes o en la p√°gina del sitio web donde la compa√Ī√≠a dice c√≥mo valora sus datos, aunque la siguiente oraci√≥n a menudo se refiere a c√≥mo se filtr√≥ o Utilizado incorrectamente.

De hecho, a la mayoría de las empresas no les importa la privacidad y seguridad de sus datos. Solo se preocupan cuando tienen que explicar a los clientes que sus datos han sido robados.

Nunca pude entender qu√© significa exactamente la declaraci√≥n de la compa√Ī√≠a de que aprecia mi privacidad. Si ese fuera el caso, entonces las compa√Ī√≠as √°vidas de datos como Google y Facebook que venden su informaci√≥n a los anunciantes simplemente no existir√≠an.

Me preguntaba con qu√© frecuencia se usa esta expresi√≥n. Recopil√© todas las notificaciones enviadas al Procurador General de California que las compa√Ī√≠as est√°n obligadas por ley a enviar despu√©s de cada problema de seguridad que encuentro, las reun√≠ y las convert√≠ en texto legible por m√°quina.

Aproximadamente el 30% de las 285 notificaciones encontraron expresiones similares.

Y esto no significa que las empresas estén preocupadas por nuestros datos. Esto sugiere que no saben qué hacer a continuación.

Un gran ejemplo de una empresa que no le importa. La semana pasada, informamos que varios usuarios del servicio OkCupid se quejaron de hackear sus cuentas. Lo m√°s probable es que el hack se haya realizado a trav√©s del relleno de credenciales , cuando los hackers toman una lista de nombres de usuario y contrase√Īas e intentan iniciar sesi√≥n en la cuenta mediante un simple ataque de fuerza bruta. A otras compa√Ī√≠as se les ense√Ī√≥ la experiencia de tales ataques y dedicaron tiempo a fortalecer la seguridad , por ejemplo, al introducir la autenticaci√≥n de dos factores.

Pero en cambio, OkCupid adoptó el enfoque de distracción, excusa y negación, que a menudo ocurre cuando las empresas intentan suavizar una impresión negativa. Se veía así:

Distracci√≥n: "Todos los sitios son pirateados peri√≥dicamente", dijo la compa√Ī√≠a.
Justificaci√≥n: "No hay nada de qu√© hablar", dijo la compa√Ī√≠a en otro art√≠culo .
Denegación: "Sin comentarios", en respuesta a una pregunta sobre lo que la empresa va a hacer.

Sería bueno escuchar cómo OkCupid dice que está preocupado por esto y qué va a hacer al respecto.

Todas las industrias han descuidado la seguridad durante mucho tiempo. La mayor√≠a de los hacks de hoy en d√≠a son el resultado del soporte de seguridad base, que dur√≥ a√Īos y, a veces, d√©cadas. Hoy en d√≠a, todas las empresas tienen que lidiar con la seguridad, ya sea un banco, un fabricante de juguetes o un desarrollador de aplicaciones.

Puede comenzar con algo peque√Īo: d√≠gale a la gente c√≥mo informarle a la empresa sobre fallas de seguridad, ofrecer una recompensa por los errores , alentar tales mensajes y prometer a los investigadores de buena fe que no los demandar√°n. Los fundadores de nuevas empresas pueden llevar a una persona al puesto de director de seguridad desde el principio. Y luego estar√°n en una mejor posici√≥n que el 95% de las empresas m√°s ricas del mundo que no se ocuparon de esto .

Pero esto no sucede. Es m√°s f√°cil para las compa√Ī√≠as pagar multas.

Target pag√≥ $ 18.5 millones por el pirateo, lo que result√≥ en la filtraci√≥n de informaci√≥n en 41 millones de tarjetas de cr√©dito, a pesar de que los ingresos de la compa√Ī√≠a para el a√Īo ascendieron a $ 72 mil millones. Anthem pag√≥ $ 115 despu√©s del pirateo, lo que comprometi√≥ los datos de 79 millones de propietarios de seguros, y gan√≥ $ 79 ese a√Īo ¬ŅMiles de millones recuerdan Equifax? La mayor fuga de datos de 2017 no condujo a nada m√°s que hablar.

Sin motivaci√≥n para el cambio, las compa√Ī√≠as continuar√°n repitiendo imprudentemente sus promesas vac√≠as. En cambio, deber√≠an haber hecho algo al respecto.

Source: https://habr.com/ru/post/441326/


All Articles