Toutes les années que j'écris sur la cybersécurité, j'ai rencontré des variations du même mensonge qui domine le reste. "Nous prenons votre vie privée et votre sécurité au sérieux."
Vous pourriez rencontrer une telle phrase ici et là. Il s'agit d'un roulement de discours courant utilisé par les entreprises après une sorte de fuite de données - soit dans une lettre d'excuses aux clients ou sur la page du site Web où l'entreprise indique comment elle valorise vos données, bien que la phrase suivante mentionne si souvent comment elle les a divulguées ou mal utilisé.
En fait, la plupart des entreprises ne se soucient pas de la confidentialité et de la sécurité de vos données. Ils ne s'inquiètent que lorsqu'ils doivent expliquer aux clients que leurs données ont été volées.
Je ne pourrais jamais comprendre ce que signifie exactement la société selon laquelle elle apprécie ma vie privée. Si tel était le cas, les entreprises avides de données comme Google et Facebook vendant vos informations à des annonceurs n'existeraient tout simplement pas.
Je me demandais à quelle fréquence cette expression est utilisée. J'ai rassemblé toutes les notifications envoyées au procureur général de Californie que les entreprises sont tenues par la loi d'envoyer après chaque problème de sécurité que je trouve, les ai rassemblées et les ai transformées en texte lisible par machine.
Environ 30% des 285 notifications ont rencontré des expressions similaires.
Et cela ne signifie pas que les entreprises s'inquiètent de nos données. Cela suggère qu'ils ne savent pas quoi faire ensuite.
Un excellent exemple d'une entreprise qui s'en fiche. La semaine dernière, nous avons
signalé que plusieurs utilisateurs du service OkCupid se sont plaints de pirater leurs comptes. Très probablement, le piratage a été effectué par
bourrage d'informations d'identification , lorsque les pirates prennent une liste de noms d'utilisateurs et de mots de passe et essaient de se connecter au compte à l'aide d'une simple attaque par force brute. D'autres entreprises ont appris l'expérience de telles attaques et ont passé du temps à
renforcer la sécurité , par exemple en introduisant une authentification à deux facteurs.
Mais au lieu de cela, OkCupid a opté pour une approche de distraction, d'excuse et de déni, ce qui arrive souvent lorsque les entreprises tentent de lisser une impression négative. Cela ressemblait à ceci:
Distraction: "Tous les sites sont régulièrement piratés", a expliqué la société.
Justification: "Il n'y a rien à dire", a déclaré la société dans
un autre article .
Déni: «Aucun commentaire», en réponse à une question sur ce que l'entreprise va faire.
Ce serait bien d'entendre comment OkCupid dit qu'il est inquiet à ce sujet et ce qu'il va faire à ce sujet.
Toutes les industries ont longtemps négligé la sécurité. La plupart des hacks d'aujourd'hui sont le résultat d'un support de sécurité de base, qui a duré des années, voire des décennies. Aujourd'hui, chaque entreprise doit faire face à la sécurité - qu'il s'agisse d'une banque, d'un fabricant de jouets ou d'un développeur d'applications.
Vous pouvez commencer petit: dire aux gens comment
informer l'entreprise des failles de sécurité,
offrir une récompense pour les erreurs , encourager ces messages et promettre aux chercheurs de bonne foi de ne pas les poursuivre. Les fondateurs de startups peuvent dès le départ amener une personne au poste de directeur de la sécurité. Et elles seront alors mieux placées que 95% des entreprises les plus riches du monde qui
ne s'en sont pas occupées .
Mais cela ne se produit pas. Il est plus facile pour les entreprises de payer des amendes.
Target a
payé 18,5 millions de dollars pour le piratage, ce qui a entraîné la fuite d'informations sur 41 millions de cartes de crédit, malgré le fait que les revenus de la société pour l'année s'élevaient à 72 milliards de dollars. Anthem a
payé 115 dollars après le piratage, ce qui a compromis les données de 79 millions de propriétaires d'assurance et a gagné 79 dollars cette année-là. Vous vous souvenez d'Equifax? La plus grande fuite de données de 2017
n'a conduit à rien d' autre qu'à parler.
Sans motivation pour le changement, les entreprises continueront de répéter leurs promesses creuses de façon téméraire. Au lieu de cela, ils auraient dû faire quelque chose.