Прекратите говорить о «серьёзном отношении к безопасности и приватности пользователей»

Все те годы, что я пишу о кибербезопасности, я сталкиваюсь с вариациями одной и той же лжи, возвышающейся над остальными. «Мы серьёзно относимся к вашей приватности и безопасности».

Вы могли сталкиваться с такой фразой то здесь, то там. Это распространённый речевой оборот, используемый компаниями после какой-нибудь утечки данных – либо в письме с извинениями к клиентам, либо на странице сайта, где компания рассказывает, как ценит ваши данные, хотя в следующем предложении так часто упоминается, как она допустила их утечку или использовала неправильно.

На самом же деле большинству компаний наплевать на приватность и безопасность ваших данных. Они беспокоятся только, когда им приходится объяснять клиентам, что их данные были украдены.

Я никогда не мог понять, что конкретно означает заявление компании о том, что она ценит мою приватность. Если бы это было так, то такие жадные до данных компании, как Google и Facebook, продающие вашу информацию рекламодателям, просто не существовали бы.

Мне стало интересно, как часто используется это выражение. Я собрал все уведомления, отправленные генеральному прокурору штата Калифорния, которые компании обязаны по закону отправлять после каждой обнаруженной проблемы с безопасностью, свёл их вместе и превратил в машино-читаемый текст.

Примерно в 30% из всех 285 уведомлений встретились подобные выражения.

И это не говорит о том, что компании беспокоятся о наших данных. Это говорит о том, что они не знают, что делать дальше.

Прекрасный пример компании, которой всё равно. На прошлой неделе мы сообщали ^[1] о том, что несколько пользователей сервиса OkCupid пожаловались на взлом их учётных записей. Скорее всего, взлом провели через подбор учётных данных [credential stuffing ^[2]], когда хакеры берут список имён пользователей и паролей и пытаются методом простого перебора войти в учётную запись. Другие компании были научены опытом таких атак и потратили время на усиление безопасности ^[3], к примеру, введя двухфакторную аутентификацию.

Но вместо этого OkCupid избрал подход отвлечения, оправдания и отрицания, что часто бывает, когда компании пытаются сгладить отрицательное впечатление. Выглядело это так:

Отвлечение: «Все сайты периодически подвергаются попыткам взлома», заявила компания.
Оправдание: «Тут не о чем рассказывать», сказал компания в другой статье ^[4].
Отрицание: «Без комментариев», в ответ на вопрос о том, что компания собирается делать.

Было бы неплохо услышать, как OkCupid рассказывает, что беспокоится насчёт этого, и что собирается с этим сделать.

Все индустрии давно пренебрегают безопасностью. Большая часть современных взломов происходит в результате низкопробной поддержки безопасности, длившейся годами, а иногда и десятилетиями. Сегодня каждой компании приходится заниматься безопасностью – будь то банк, изготовитель игрушек или разработчик приложения.

Начать можно с малого: рассказать людям, как сообщить компании ^[5] о недостатках, связанных с безопасностью, предложить награду за ошибки ^[6], чтобы поощрять подобные сообщения и пообещать добросовестным исследователям не подавать на них в суд. Основатели стартапов могут с самого начала взять человека на должность директора по безопасности. И тогда они окажутся в лучшем положении, чем 95% богатейших компаний мира, которые об этом не позаботились ^[7].

Но такого не происходит. Компаниям проще заплатить штрафы.

Target заплатила ^[8] $18,5 млн за взлом, повлекший утечку информации о 41 млн кредиток, при том, что доход компании за год составил $72 млрд. Anthem заплатила ^[9] $115 после взлома, поставившего под угрозу данные 79 млн владельцев страховок, а заработала в тот год $79 млрд. Помните Equifax? Крупнейшая утечка данных 2017 года не привела ни к чему ^[10], кроме разговоров.

Без мотивации к изменениям компании будут продолжать бездумно повторять свои пустые обещания. А вместо этого им стоило бы что-то предпринять на этот счёт.

Автор: SLY_G

Источник ^[11]