Selama bertahun-tahun saya menulis tentang keamanan siber, saya telah menemukan variasi kebohongan yang sama dengan menara di atas yang lainnya. "Kami menjaga privasi dan keamanan Anda dengan serius."
Anda mungkin menemukan frasa seperti itu di sana-sini. Ini adalah pergantian ucapan umum yang digunakan oleh perusahaan setelah beberapa jenis kebocoran data - baik dalam surat permintaan maaf kepada pelanggan atau di halaman situs web di mana perusahaan memberi tahu bagaimana nilai data Anda, meskipun kalimat berikutnya begitu sering menyebutkan bagaimana itu bocor atau salah digunakan.
Bahkan, sebagian besar perusahaan tidak peduli dengan privasi dan keamanan data Anda. Mereka hanya khawatir ketika mereka harus menjelaskan kepada pelanggan bahwa data mereka telah dicuri.
Saya tidak pernah mengerti apa sebenarnya pernyataan perusahaan yang menghargai privasi saya. Jika itu masalahnya, maka perusahaan yang haus data seperti Google dan Facebook yang menjual informasi Anda kepada pengiklan tidak akan ada.
Saya bertanya-tanya seberapa sering ungkapan ini digunakan. Saya mengumpulkan semua pemberitahuan yang dikirim ke Jaksa Agung California bahwa perusahaan diwajibkan oleh hukum untuk mengirim setelah setiap masalah keamanan yang saya temukan, menyatukannya dan mengubahnya menjadi teks yang dapat dibaca mesin.
Sekitar 30% dari 285 notifikasi mengalami ekspresi serupa.
Dan ini tidak berarti bahwa perusahaan khawatir dengan data kami. Ini menunjukkan bahwa mereka tidak tahu apa yang harus dilakukan selanjutnya.
Contoh yang bagus dari perusahaan yang tidak peduli. Pekan lalu, kami
melaporkan bahwa beberapa pengguna layanan OkCupid mengeluhkan peretasan akun mereka. Kemungkinan besar, peretasan dilakukan melalui
isian kredensial , ketika peretas mengambil daftar nama pengguna dan kata sandi dan mencoba masuk ke akun menggunakan serangan brute force sederhana. Perusahaan lain diajari pengalaman serangan semacam itu dan menghabiskan waktu untuk
memperkuat keamanan , misalnya, dengan memperkenalkan otentikasi dua faktor.
Tetapi sebaliknya, OkCupid memilih untuk pendekatan gangguan, alasan dan penolakan, yang sering terjadi ketika perusahaan mencoba untuk melancarkan kesan negatif. Itu terlihat seperti ini:
Gangguan: "Semua situs diretas secara berkala," kata perusahaan.
Pembenaran: "Tidak ada yang perlu dibicarakan," kata perusahaan itu dalam
artikel lain .
Penolakan: "Tidak ada komentar," dalam menanggapi pertanyaan tentang apa yang akan dilakukan perusahaan.
Akan menyenangkan mendengar bagaimana OkCupid mengatakan bahwa dia khawatir tentang ini dan apa yang akan dia lakukan.
Semua industri telah lama mengabaikan keselamatan. Sebagian besar peretasan hari ini datang sebagai hasil dari dukungan keamanan dasar, yang berlangsung selama bertahun-tahun, dan kadang-kadang beberapa dekade. Saat ini, setiap perusahaan harus berurusan dengan keamanan - baik itu bank, pabrik mainan atau pengembang aplikasi.
Anda dapat memulai dari yang kecil: memberi tahu orang-orang bagaimana cara
memberitahu perusahaan tentang kelemahan keamanan,
menawarkan hadiah atas kesalahan , untuk mendorong pesan-pesan semacam itu dan berjanji untuk para peneliti yang bonafide untuk tidak menuntut mereka. Para pendiri startup dapat membawa seseorang ke posisi direktur keamanan sejak awal. Dan kemudian mereka akan berada di posisi yang lebih baik daripada 95% dari perusahaan terkaya di dunia yang
tidak mengurusi hal ini .
Tetapi ini tidak terjadi. Lebih mudah bagi perusahaan untuk membayar denda.
Target
membayar $ 18,5 juta untuk peretasan, yang mengakibatkan kebocoran informasi pada 41 juta kartu kredit, terlepas dari kenyataan bahwa pendapatan perusahaan untuk tahun itu berjumlah $ 72 miliar. Lagu kebangsaan
membayar $ 115 setelah peretasan, yang mengkompromikan data 79 juta pemilik asuransi, dan memperoleh $ 79 pada tahun itu. Miliar Ingat Equifax? Kebocoran data terbesar pada 2017
tidak mengarah ke apa pun selain bicara.
Tanpa motivasi untuk perubahan, perusahaan akan terus mengulangi janji kosong mereka secara sembrono. Sebaliknya, mereka seharusnya melakukan sesuatu tentang itu.