Todos os anos que escrevo sobre segurança cibernética, me deparei com variações da mesma mentira que se elevam acima do resto. "Nós levamos sua privacidade e segurança a sério."
Você pode encontrar essa frase aqui e ali. Essa é uma rotatividade de voz comum usada pelas empresas após algum tipo de vazamento de dados - seja em uma carta de desculpas aos clientes ou na página do site em que a empresa diz como avalia seus dados, embora a próxima frase mencione com frequência como vazou ou usado incorretamente.
De fato, a maioria das empresas não se preocupa com a privacidade e a segurança dos seus dados. Eles só se preocupam quando precisam explicar aos clientes que seus dados foram roubados.
Eu nunca conseguia entender o que exatamente a declaração da empresa de que ela aprecia minha privacidade significa. Se fosse esse o caso, empresas com fome de dados, como Google e Facebook, vendendo suas informações para anunciantes simplesmente não existiriam.
Gostaria de saber quantas vezes essa expressão é usada. Reuni todas as notificações enviadas ao Procurador-Geral da Califórnia que as empresas são obrigadas por lei a enviar após cada problema de segurança encontrado, reuni-as e as transformei em texto legível por máquina.
Aproximadamente 30% de todas as 285 notificações encontraram expressões semelhantes.
E isso não significa que as empresas estejam preocupadas com nossos dados. Isso sugere que eles não sabem o que fazer a seguir.
Um ótimo exemplo de empresa que não se importa. Na semana passada,
informamos que vários usuários do serviço OkCupid se queixaram de invadir suas contas. Provavelmente, o hack foi conduzido através do
preenchimento de credenciais , quando os hackers pegam uma lista de nomes de usuário e senhas e tentam fazer login na conta usando um simples ataque de força bruta. Outras empresas aprenderam a experiência desses ataques e gastaram tempo
fortalecendo a segurança , por exemplo, introduzindo a autenticação de dois fatores.
Mas, em vez disso, o OkCupid adotou a abordagem de distração, desculpa e negação, o que geralmente acontece quando as empresas tentam suavizar uma impressão negativa. Parecia assim:
Distração: "Todos os sites são invadidos periodicamente", disse a empresa.
Justificação: "Não há nada para falar", disse a empresa em
outro artigo .
Negação: "Sem comentários", em resposta a uma pergunta sobre o que a empresa fará.
Seria bom ouvir como o OkCupid diz que está preocupado com isso e com o que fará.
Todas as indústrias há muito negligenciam a segurança. A maioria dos hacks atuais é resultado do suporte básico à segurança, que durou anos e, às vezes, décadas. Hoje, toda empresa precisa lidar com a segurança - seja um banco, um fabricante de brinquedos ou um desenvolvedor de aplicativos.
Você pode começar pequeno: diga às pessoas como
contar à empresa sobre falhas de segurança,
ofereça uma recompensa por erros , incentive essas mensagens e prometa que os pesquisadores de boa-fé não os processem. Os fundadores de startups podem levar uma pessoa ao cargo de diretor de segurança desde o início. E então eles estarão em uma posição melhor do que 95% das empresas mais ricas do mundo que
não cuidaram disso .
Mas isso não acontece. É mais fácil para as empresas pagarem multas.
A Target
pagou US $ 18,5 milhões pelo hack, o que resultou no vazamento de informações em 41 milhões de cartões de crédito, apesar do faturamento da empresa no ano totalizar US $ 72 bilhões.Hino
pagou US $ 115 após o hack, que comprometeu os dados de 79 milhões de proprietários de seguros e ganhou US $ 79 naquele ano Bilhões Lembra da Equifax? O maior vazamento de dados de 2017
não levou a nada além de conversa.
Sem motivação para a mudança, as empresas continuarão repetindo imprudentemente suas promessas vazias. Em vez disso, eles deveriam ter feito algo sobre isso.