Что мы можем сделать с надвигающимися угрозами нашей конфиденциальности в Интернете и кражей важной личной информации? У Ари Трахтенберга есть несколько идей.

В прошлом году стартовал Cambridge Analytica, разоблачающий доступ к частным данным по крайней мере для миллионов пользователей Facebook 87, и Marriott объявил, что его учетные записи были взломаны.

Quora, MyFitnessPal, Google+, MyHeritage и Lord & Taylor также недавно столкнулись с нарушениями кибербезопасности, каждое из которых раскрывает конфиденциальные данные миллионов пользователей.

Здесь Трахтенберг, профессор электротехники и вычислительной техники в Бостонском университете, эксперт по кибербезопасности и член университета Cyber ​​Alliance, дает свое представление о наиболее распространенных угрозах кибербезопасности, которые можно ожидать в ближайшие месяцы, а также о политике, правилах и бизнес-практике. это может помочь снизить кибер-риск и повысить защиту конфиденциальности.

Q

Какова самая распространенная угроза кибербезопасности, о которой мы должны знать?

A

Я верю, что «конфиденциальность» будет доминировать над нашими проблемами в этом году. Мы уже видели, как, казалось бы, несущественные утечки конфиденциальности (например, посты в Facebook для друзей) могут быть использованы для политического преимущества (например, выборы 2016), и я ожидаю, что законодательные органы будут занимать все более решительную позицию в отношении прав потребителей на данные - как уже произошло в Европе с Общим регламентом о защите данных.

Предприятия могут опередить это, предлагая прозрачные и независимо проверяемые меры защиты для потребителей. Однако также становится все более очевидным, что потребители мало что могут сделать, чтобы смягчить свою потерю конфиденциальности со стороны третьих лиц (с которыми, зачастую, они даже не имеют отношений). Возможно, наиболее эффективным средством (в демократических странах) является политическое.

Q

Каковы самые большие пробелы в политике с точки зрения конфиденциальности, которые необходимо устранить?

A

Что касается конфиденциальности данных, я думаю, что наиболее важной задачей, которую может выполнить правительство (не только Белый дом, но и Конгресс, и судебная система), является определение четкой ответственности за потерю конфиденциальности.

Сегодня компании могут потерять личную и конфиденциальную информацию о миллионах клиентов с чуть более чем социальной стигмой (у которых есть большой опыт борьбы с их отделами по связям с общественностью). Наши суды не знают, как поставить сумму в долларах на потерю личной жизни. В результате у компаний нет четкого и сильного финансового стимула для усиления своей защиты конфиденциальности.

Ответственность оказалась отличным способом решения таких проблем в области продуктов, где, например, производители теперь тщательно проверяют свое электрическое оборудование и получают сертификацию Underwriter Laboratories или подвергают риску значительные судебные иски, если люди получают травмы. Чтобы увидеть такой же успех в кибер-мире, нам нужно четко определенное и применимое определение ответственности за конфиденциальность.

Q

Считаете ли вы, что появятся новые правила о том, как крупные технологические компании, такие как Facebook и Google, используют и монетизируют данные потребителей?

A

Я думаю, что будет толчок либо к разрушению крупных технологических компаний, либо к их гораздо более жесткому регулированию. Каждая из крупных технологических компаний сохраняет контроль над исторически беспрецедентными объемами данных, которые с помощью современных вычислений являются высоко индивидуализированными.

С одной стороны, они, по-видимому, способны влиять на выборы и социальную политику, управлять финансовыми и фондовыми рынками и читать тенденции в таких масштабах, которые раньше были невозможны. С другой стороны, их вновь обретенное богатство позволяет им продвигать грандиозные задачи и техническое видение, которое не может быть реализовано в меньших масштабах (например, автономные транспортные средства, глобальные энциклопедии с возможностью поиска, мировые рынки покупки и т. Д.).

Я предпочел бы разбить крупные компании, а не регулировать их, так как правила без лазеек, как известно, трудно написать правильно, не подавляя инновации и прозрачность.

Q

Конфиденциальность данных и безопасность данных долгое время считались двумя отдельными миссиями с двумя отдельными целями. Как вы думаете, это меняется?

A

Что касается конфиденциальности данных и безопасности, я бы сказал, что они технически (но не социально) неразрывны. Нарушения безопасности несут ответственность за огромные потери конфиденциальности, а нарушения конфиденциальности часто могут быть использованы для уязвимостей безопасности. Однако, как я уже упоминал ранее, в отличие от широкой области кибербезопасности, очень мало финансовых интересов в защите конфиденциальности в сегодняшнем промышленном (или, честно говоря, правительственном) ландшафте.

Q

Потребители уделяют больше внимания поддержанию и контролю их личной конфиденциальности и данных корпораций. Помимо возможных правил политики, как вы думаете, появятся ли новые технологические решения, чтобы помочь потребителям лучше контролировать свои данные?

A

Масштабы технологической угрозы огромны, и мы действительно не знаем, как ее технически защитить. Моя личная мысль состоит в том, что задача невозможна - во многом как сделать замок с защитой от взлома или непотопляемый корабль. Вместо этого нам нужно сосредоточить наше внимание на совместных технических и правовых решениях.

Q

Что должны делать современные сотрудники по кибербезопасности, чтобы смягчить растущий риск конфиденциальности данных?

A

В области кибербезопасности всегда есть что сделать, но есть некоторые базовые «передовые практики», которые каждый главный специалист по информационной безопасности должен знать и обучать сотрудников.

Одним из способов снижения риска нарушения конфиденциальности является не хранить и не обрабатывать личную или конфиденциальную информацию. Компании должны очень тщательно продумывать каждую часть информации, которую они получают от клиентов, взвешивая преимущества наличия этой информации и риск ее потери. Проблема в том, что очень часто компании не осознают, насколько серьезной может быть потеря информации.

Например, нарушение (плохо) хешированных паролей в LinkedIn 2012 позже будет использоваться в электронных письмах с вымогательством, которые используют взломанные пароли, чтобы убедить неудачных получателей в том, что вымогатели имели компрометирующую информацию.

Q

Как вы думаете, где больше всего средств требуется для исследований в области кибербезопасности? Есть ли области, которые вы считаете приоритетными?

A

Я думаю, что США отчаянно нуждаются в большем финансировании фундаментальных исследований всех типов, а не только исследований в области кибербезопасности. Истинные инновации не часто исходят из административного руководства, а скорее из-за вдохновения и преследования непредвиденных идей.

Q

Какое влияние вы бы хотели достичь в сфере кибербезопасности / конфиденциальности?

A

Я анализировал появляющееся поле побочных каналов, где информация просачивается (как правило, непреднамеренно) от регулярного использования технических устройств и программного обеспечения. Моей целью было бы разработать некоторые общие, всеобъемлющие свойства этих каналов, где они образуются, и как мы можем их смягчить. Результатом такой работы станет более безопасный и открытый технический мир, но мало кто на самом деле осознает это.

Источник: Бостонский университет

Книги по этой теме

at Внутренний рынок самовыражения и Amazon