Todos los años que escribo sobre ciberseguridad, me he encontrado con variaciones de la misma mentira que se destaca por encima del resto. "Nos tomamos en serio su privacidad y seguridad".
Puede encontrar una frase así aquí y allá. Esta es una rotación de discurso común utilizada por las compañías después de algún tipo de fuga de datos, ya sea en una carta de disculpa a los clientes o en la página del sitio web donde la compañía dice cómo valora sus datos, aunque la siguiente oración a menudo se refiere a cómo se filtró o Utilizado incorrectamente.
De hecho, a la mayoría de las empresas no les importa la privacidad y seguridad de sus datos. Solo se preocupan cuando tienen que explicar a los clientes que sus datos han sido robados.
Nunca pude entender qué significa exactamente la declaración de la compañía de que aprecia mi privacidad. Si ese fuera el caso, entonces las compañías ávidas de datos como Google y Facebook que venden su información a los anunciantes simplemente no existirían.
Me preguntaba con qué frecuencia se usa esta expresión. Recopilé todas las notificaciones enviadas al Procurador General de California que las compañías están obligadas por ley a enviar después de cada problema de seguridad que encuentro, las reuní y las convertí en texto legible por máquina.
Aproximadamente el 30% de las 285 notificaciones encontraron expresiones similares.
Y esto no significa que las empresas estén preocupadas por nuestros datos. Esto sugiere que no saben qué hacer a continuación.
Un gran ejemplo de una empresa que no le importa. La semana pasada, informamos que varios usuarios del servicio OkCupid se quejaron de hackear sus cuentas. Lo más probable es que el hack se haya realizado a través del
relleno de credenciales , cuando los hackers toman una lista de nombres de usuario y contraseñas e intentan iniciar sesión en la cuenta mediante un simple ataque de fuerza bruta. A otras compañías se les enseñó la experiencia de tales ataques y dedicaron tiempo a
fortalecer la seguridad , por ejemplo, al introducir la autenticación de dos factores.
Pero en cambio, OkCupid adoptó el enfoque de distracción, excusa y negación, que a menudo ocurre cuando las empresas intentan suavizar una impresión negativa. Se veía así:
Distracción: "Todos los sitios son pirateados periódicamente", dijo la compañía.
Justificación: "No hay nada de qué hablar", dijo la compañía en
otro artículo .
Denegación: "Sin comentarios", en respuesta a una pregunta sobre lo que la empresa va a hacer.
Sería bueno escuchar cómo OkCupid dice que está preocupado por esto y qué va a hacer al respecto.
Todas las industrias han descuidado la seguridad durante mucho tiempo. La mayoría de los hacks de hoy en día son el resultado del soporte de seguridad base, que duró años y, a veces, décadas. Hoy en día, todas las empresas tienen que lidiar con la seguridad, ya sea un banco, un fabricante de juguetes o un desarrollador de aplicaciones.
Puede comenzar con algo pequeño: dígale a la gente cómo
informarle a la empresa sobre fallas de seguridad,
ofrecer una recompensa por los errores , alentar tales mensajes y prometer a los investigadores de buena fe que no los demandarán. Los fundadores de nuevas empresas pueden llevar a una persona al puesto de director de seguridad desde el principio. Y luego estarán en una mejor posición que el 95% de las empresas más ricas del mundo que
no se ocuparon de esto .
Pero esto no sucede. Es más fácil para las compañías pagar multas.
Target
pagó $ 18.5 millones por el pirateo, lo que resultó en la filtración de información en 41 millones de tarjetas de crédito, a pesar de que los ingresos de la compañía para el año ascendieron a $ 72 mil millones. Anthem
pagó $ 115 después del pirateo, lo que comprometió los datos de 79 millones de propietarios de seguros, y ganó $ 79 ese año ¿Miles de millones recuerdan Equifax? La mayor fuga de datos de 2017
no condujo a nada más que hablar.
Sin motivación para el cambio, las compañías continuarán repitiendo imprudentemente sus promesas vacías. En cambio, deberían haber hecho algo al respecto.