توقف عن الحديث عن "أخذ الأمن والخصوصية على محمل الجد"

كل السنوات التي أكتب فيها عن الأمن السيبراني ، واجهت أشكالاً مختلفة من نفس الكذبة التي أبراج فوق بقية. "نحن نأخذ خصوصيتك وأمنك على محمل الجد."

قد تصادف هذه العبارة هنا وهناك. هذا هو معدل دوران الكلام الشائع الذي تستخدمه الشركات بعد نوع من تسرب البيانات - إما في خطاب اعتذار للعملاء أو على صفحة الموقع حيث تخبر الشركة كيف تقوم بتقييم بياناتك ، على الرغم من أن الجملة التالية كثيراً ما تشير إلى كيفية تسربها أو تستخدم بشكل غير صحيح.

في الواقع ، لا تهتم معظم الشركات بخصوصية وأمان بياناتك. إنهم قلقون فقط عندما يتعين عليهم شرح للعملاء أن بياناتهم قد سُرقت.

لم أفهم أبدًا ما يعنيه بالضبط بيان الشركة الذي تقدره خصوصيتي. إذا كان الأمر كذلك ، فإن الشركات المتعطشة للبيانات مثل Google و Facebook التي تبيع معلوماتك للمعلنين لن تكون موجودة.

تساءلت كم مرة يتم استخدام هذا التعبير. جمعت جميع الإخطارات المرسلة إلى النائب العام في كاليفورنيا والتي يفرض على الشركات بموجب القانون إرسالها بعد كل مشكلة أمنية أجدها وجمعها وتحويلها إلى نص قابل للقراءة آليًا.

واجه ما يقرب من 30 ٪ من جميع الإشعارات الـ 285 تعبيرات مماثلة.

وهذا لا يعني أن الشركات قلقة بشأن بياناتنا. هذا يشير إلى أنهم لا يعرفون ماذا يفعلون بعد ذلك.

مثال رائع على الشركة التي لا تهتم. في الأسبوع الماضي ، أبلغنا أن العديد من مستخدمي خدمة OkCupid اشتكوا من اختراق حساباتهم. على الأرجح ، تم إجراء الاختراق من خلال حشو أوراق الاعتماد ، عندما يأخذ المتسللون قائمة بأسماء المستخدمين وكلمات المرور ويحاولون تسجيل الدخول إلى الحساب باستخدام هجوم قاسي بسيط. تم تعليم الشركات الأخرى تجربة مثل هذه الهجمات وأمضت وقتًا في تقوية الأمان ، على سبيل المثال ، من خلال إدخال مصادقة ثنائية.

ولكن بدلاً من ذلك ، اتبعت OkCupid أسلوب الهاء والعذر والحرمان ، وهو ما يحدث غالبًا عندما تحاول الشركات تخفيف الانطباع السلبي. يبدو مثل هذا:

الهاء: "يتم اختراق جميع المواقع بشكل دوري" ، حسبما ذكرت الشركة.
التبرير: "لا يوجد شيء للحديث عنه" ، قالت الشركة في مقال آخر .
الإنكار: "لا تعليق" ، ردًا على سؤال حول ما ستقوم به الشركة.

سيكون من الجيد أن نسمع كيف يقول OkCupid أنه قلق بشأن هذا وما سيفعله حيال ذلك.

لقد أهملت جميع الصناعات السلامة لفترة طويلة. تأتي معظم الاختراقات اليوم نتيجة لدعم الأمان الأساسي ، والذي استمر لسنوات ، وأحيانًا لعقود. اليوم ، يتعين على كل شركة التعامل مع الأمن - سواء كان بنكًا أو شركة تصنيع ألعاب أو مطور تطبيقات.

يمكنك أن تبدأ بشكل بسيط: أخبر الأشخاص كيف تخبر الشركة عن العيوب الأمنية ، وتقدم مكافأة عن الأخطاء ، وتشجع هذه الرسائل ، وتوعد الباحثين بحسن نية بعدم مقاضاتهم. يمكن لمؤسسي الشركات الناشئة أخذ شخص إلى منصب مدير الأمن من البداية. وبعد ذلك سيكونون في وضع أفضل من 95٪ من أغنى الشركات في العالم التي لم تهتم بهذا .

لكن هذا لا يحدث. من السهل على الشركات دفع الغرامات.

دفع الهدف 18.5 مليون دولار للقرصنة ، مما أدى إلى تسرب المعلومات على 41 مليون بطاقة ائتمان ، على الرغم من أن إيرادات الشركة لهذا العام بلغت 72 مليار دولار ، ودفع النشيد 115 دولارًا بعد الاختراق ، مما أضر ببيانات 79 مليون مالك تأمين ، وحصل على 79 دولارًا في تلك السنة مليار تذكر Equifax؟ أكبر تسرب للبيانات لعام 2017 لم يؤد إلى أي شيء آخر غير الحديث.

بدون حافز للتغيير ، ستستمر الشركات في تكرار وعودها الفارغة بتهور. بدلاً من ذلك ، كان ينبغي عليهم فعل شيء حيال ذلك.