Що ми можемо зробити із загрозливою загрозою для нашої приватності в Інтернеті та крадіжкою важливої ​​особистої інформації? У Арі Трахтенберг є кілька ідей.

Минулий рік стартував з того, що Cambridge Analytica викрили за отримання доступу до приватних даних щонайменше 87 мільйонів користувачів Facebook і завершили Marriott, оголосивши, що 500 мільйонів його акаунтів були зламані.

Quora, MyFitnessPal, Google+, MyHeritage та Lord & Taylor також нещодавно зазнали порушень кібербезпеки - кожен викривав конфіденційні дані мільйонів користувачів.

Тут Трахтенберг, професор електротехніки та обчислювальної техніки в Бостонському університеті, експерт з питань кібербезпеки та член Кібер альянсу університету, розповідає про найпоширеніші загрози кібербезпеки, які слід передбачити у найближчі місяці, а також про політику, правила та ділову практику що може допомогти зменшити кібер-ризик та підвищити захист конфіденційності.

Q

Яка найпоширеніша загроза кібербезпеки нам слід знати?

A

Я вважаю, що “конфіденційність” буде домінувати в наших проблемах цього року. Ми вже бачили, як, здавалося б, несуттєві витоки конфіденційності (тобто публікації в Facebook друзям) можуть бути використані для отримання політичної вигоди (тобто виборів 2016 року), і я сподіваюся, що законодавчі органи будуть дотримуватися дедалі сильнішої позиції щодо прав споживачів на дані - як це вже сталося в Європі із Загальним регламентом про захист даних.

Підприємства можуть випередити це, запропонувавши прозорий та незалежний контроль для захисту споживачів. Однак стає все більш очевидним, що споживачі можуть зробити дуже мало, щоб пом'якшити втрату конфіденційності від третіх сторін (з якими дуже часто вони навіть не мають стосунків). Мабуть, найефективніший засіб (у демократичних країнах) - політичний.

Q

Які найбільші прогалини в політиці з точки зору конфіденційності потребують вирішення?

A

Що стосується конфіденційності даних, я вважаю, що найважливішим завданням, яке може виконати уряд (не тільки Білий дім, а й Конгрес та судова влада), є визначення чіткої відповідальності за втрату конфіденційності.

Сьогодні компанії можуть втратити особисту та конфіденційну інформацію про мільйони клієнтів, маючи лише соціальну стигму (які компанії мають великий досвід боротьби зі своїми відділами зв’язків з громадськістю). Наші суди не знають, як покласти суму в доларах на втрату особистим життям особи. Як наслідок, немає чітких і потужних фінансових стимулів для компаній посилити захист приватного життя.

Відповідальність зарекомендувала себе як чудовий спосіб вирішення таких проблем у товарному середовищі, де, наприклад, виробники тепер ретельно перевіряють своє електрообладнання та отримують сертифікацію Underwriter Laboratories або ризикують суттєвими позовами, якщо люди постраждають. Щоб побачити подібний успіх у кібер світі, нам потрібне чітко визначене та забезпечене законом визначення відповідальності за конфіденційність.

Q

Як ви думаєте, чи буде стимул до прийняття нових правил щодо того, як великі технологічні компанії, такі як Facebook та Google, використовують та монетизують дані споживачів?

A

Я думаю, що буде поштовх або до розпаду великих технологічних компаній, або до набагато більшого регулювання. Кожна велика технологічна компанія зберігає контроль над безпрецедентно великими обсягами даних, які за допомогою сучасних обчислювальних технологій мають високу індивідуальність.

З одного боку, вони, здається, мають владу змінювати вибори та соціальну політику, керувати фінансовими та фондовими ринками та читати тенденції у такому масштабі, як ніколи раніше. З іншого боку, їхнє новоспечене багатство дозволяє їм рухатись до великих викликів і технічного бачення, яке не може бути застосовано в меншому масштабі (тобто автономні транспортні засоби, глобальні енциклопедії, які можна шукати, світові ринки купівлі тощо).

Я віддав би перевагу розбиттю великих компаній, а не регулюванню їх, оскільки норми, що не містять лазів, як правило, важко написати належним чином, не заважаючи інноваціям та прозорості.

Q

Конфіденційність даних та безпека даних давно вважалися двома окремими місіями з двома окремими цілями. Ви вважаєте, що це змінюється?

A

Що стосується конфіденційності даних проти безпеки, я б сказав, що ці два технічно (але не соціально) нерозривні. Порушення безпеки відповідають за величезні втрати конфіденційності, і порушення конфіденційності часто можна використати для уразливостей системи безпеки. Однак, як я вже згадував раніше, на відміну від широкої сфери кібербезпеки, в сучасному промисловому (або, чесно кажучи, урядовому) ландшафті дуже мало фінансової зацікавленості у захисті приватного життя.

Q

Споживачі приділяють більше уваги підтримці та контролю за особистим конфіденційністю та даними корпорацій. Окрім потенційних нормативних актів, чи вважаєте ви, що з’являться нові технологічні рішення, які допоможуть споживачам краще контролювати свої дані?

A

Ландшафт технологічної загрози величезний, і ми дійсно не знаємо, як його технічно захистити. Моя особиста думка полягає в тому, що завдання неможливе - подібно до того, як зробити захисний замок або непотоплюваний корабель. Натомість нам потрібно зосередити свою увагу на спільних технічних та юридичних рішеннях.

Q

Що повинні робити сучасні працівники кібербезпеки, щоб пом'якшити зростаючий ризик конфіденційності даних?

A

Завжди потрібно зробити ще багато в області кібербезпеки, але є кілька основних «найкращих практик», які кожен начальник служби інформаційної безпеки повинен знати та навчати співробітників.

Один із способів зменшити ризик конфіденційності - це просто не зберігати та не обробляти приватну або конфіденційну інформацію. Компанії повинні дуже ретельно продумувати кожну інформацію, яку вони отримують від клієнтів, зважуючи вигоду від наявності цієї інформації та ризику її втратити. Проблема полягає в тому, що дуже часто компанії не усвідомлюють, наскільки шкідливою може бути втрата інформації.

Наприклад, порушення LinkedIn 2012 (погано) хешованих паролів згодом буде використано в електронних листах з вимаганням, які використовували зламані паролі, щоб переконати нещасних одержувачів у тому, що вимагачі мають компрометуючу інформацію.

Q

Як ви думаєте, де потрібно найбільше фінансування для досліджень кібербезпеки? Чи є сфери, які, на вашу думку, мають бути пріоритетними?

A

Я думаю, що США дуже відчайдушно потребують більше фінансування для базових досліджень усіх типів, а не лише для досліджень кібербезпеки. Справжні інновації не часто походять від адміністративних вказівок, а скоріше завдяки натхненню та переслідуванню непередбачених ідей.

Q

Якого ефекту ви б конкретно хотіли досягти у просторі кібербезпеки / конфіденційності?

A

Я аналізував нове поле бічних каналів, де інформація витікає (як правило, ненавмисно) від регулярного використання технічних пристроїв та програмного забезпечення. Моєю метою було б розробити деякі широкі, всеохоплюючі властивості цих каналів, де вони утворюються, і як ми можемо пом'якшити їх. Вплив такої роботи був би більш безпечним, відкритим технічним світом, але насправді це мало хто зрозумів би.

джерело: Бостонський університет

Суміжні книги

at InnerSelf Market і Amazon