In all den Jahren, in denen ich über Cybersicherheit schreibe, bin ich auf Variationen derselben Lüge gestoßen, die sich von den anderen abhebt. "Wir nehmen Ihre Privatsphäre und Sicherheit ernst."
Sie könnten hier und da auf einen solchen Satz stoßen. Dies ist ein häufiger Sprachumsatz, der von Unternehmen nach einer Art Datenverlust verwendet wird - entweder in einem Entschuldigungsschreiben an Kunden oder auf der Website-Seite, auf der das Unternehmen angibt, wie es Ihre Daten bewertet, obwohl im nächsten Satz so oft erwähnt wird, wie sie verloren gegangen sind oder falsch verwendet.
Tatsächlich kümmern sich die meisten Unternehmen nicht um den Datenschutz und die Sicherheit Ihrer Daten. Sie machen sich nur dann Sorgen, wenn sie den Kunden erklären müssen, dass ihre Daten gestohlen wurden.
Ich konnte nie verstehen, was genau die Aussage des Unternehmens bedeutet, dass es meine Privatsphäre schätzt. Wenn dies der Fall wäre, gäbe es datenhungrige Unternehmen wie Google und Facebook, die Ihre Informationen an Werbetreibende verkaufen, einfach nicht.
Ich habe mich gefragt, wie oft dieser Ausdruck verwendet wird. Ich habe alle an den Generalstaatsanwalt von Kalifornien gesendeten Benachrichtigungen gesammelt, die Unternehmen nach jedem Sicherheitsproblem, das ich finde, gesetzlich senden müssen, habe sie zusammengeführt und in maschinenlesbaren Text umgewandelt.
Ungefähr 30% aller 285 Benachrichtigungen stießen auf ähnliche Ausdrücke.
Dies bedeutet nicht, dass Unternehmen sich Sorgen um unsere Daten machen. Dies deutet darauf hin, dass sie nicht wissen, was sie als nächstes tun sollen.
Ein großartiges Beispiel für ein Unternehmen, das sich nicht darum kümmert. Letzte Woche haben wir
berichtet, dass sich mehrere Benutzer des OkCupid-Dienstes über das Hacken ihrer Konten beschwert haben. Höchstwahrscheinlich wurde der Hack durch
Ausfüllen von
Anmeldeinformationen durchgeführt , wenn Hacker eine Liste mit Benutzernamen und Passwörtern erstellen und versuchen, sich mit einem einfachen Brute-Force-Angriff in das Konto einzuloggen. Anderen Unternehmen wurden die Erfahrungen mit solchen Angriffen beigebracht und sie verbrachten Zeit damit,
die Sicherheit zu verbessern , beispielsweise durch die Einführung der Zwei-Faktor-Authentifizierung.
Stattdessen verfolgte OkCupid den Ansatz der Ablenkung, Entschuldigung und Verleugnung, was häufig der Fall ist, wenn Unternehmen versuchen, einen negativen Eindruck auszugleichen. Es sah so aus:
Ablenkung: "Alle Websites werden regelmäßig gehackt", sagte das Unternehmen.
Begründung: "Es gibt nichts zu reden", sagte das Unternehmen in
einem anderen Artikel .
Ablehnung: "Kein Kommentar" als Antwort auf eine Frage, was das Unternehmen tun wird.
Es wäre schön zu hören, wie OkCupid sagt, dass er sich darüber Sorgen macht und was er dagegen tun wird.
Alle Branchen haben die Sicherheit lange vernachlässigt. Die meisten der heutigen Hacks sind das Ergebnis der Unterstützung der Basissicherheit, die Jahre und manchmal Jahrzehnte dauerte. Heute muss sich jedes Unternehmen mit Sicherheit befassen - sei es eine Bank, ein Spielzeughersteller oder ein Anwendungsentwickler.
Sie können klein anfangen: Sagen Sie den Leuten, wie
sie das Unternehmen über Sicherheitslücken informieren,
eine Belohnung für Fehler anbieten , solche Nachrichten fördern und gutgläubigen Forschern versprechen, sie nicht zu verklagen. Gründer von Startups können eine Person von Anfang an zum Sicherheitsdirektor machen. Und dann sind sie in einer besseren Position als 95% der reichsten Unternehmen der Welt, die
sich nicht darum gekümmert haben .
Das passiert aber nicht. Für Unternehmen ist es einfacher, Geldstrafen zu zahlen.
Target
zahlte 18,5 Millionen US-Dollar für den Hack, was dazu führte, dass Informationen über 41 Millionen Kreditkarten verloren gingen, obwohl der Jahresumsatz des Unternehmens 72 Milliarden US-Dollar betrug. Anthem
zahlte nach dem Hack 115 US-Dollar, wodurch die Daten von 79 Millionen Versicherungsnehmern kompromittiert wurden, und verdiente in diesem Jahr 79 US-Dollar Milliarden Erinnerst du dich an Equifax? Das größte Datenleck des Jahres 2017
führte zu nichts anderem als zu Gesprächen.
Ohne Motivation zur Veränderung werden Unternehmen ihre leeren Versprechen weiterhin rücksichtslos wiederholen. Stattdessen hätten sie etwas dagegen tun sollen.