Прекратите говорить о «серьёзном отношении к безопасности и приватности пользователей»

Original author: Zack Whittaker
  • Translation


Все те годы, что я пишу о кибербезопасности, я сталкиваюсь с вариациями одной и той же лжи, возвышающейся над остальными. «Мы серьёзно относимся к вашей приватности и безопасности».

Вы могли сталкиваться с такой фразой то здесь, то там. Это распространённый речевой оборот, используемый компаниями после какой-нибудь утечки данных – либо в письме с извинениями к клиентам, либо на странице сайта, где компания рассказывает, как ценит ваши данные, хотя в следующем предложении так часто упоминается, как она допустила их утечку или использовала неправильно.

На самом же деле большинству компаний наплевать на приватность и безопасность ваших данных. Они беспокоятся только, когда им приходится объяснять клиентам, что их данные были украдены.

Я никогда не мог понять, что конкретно означает заявление компании о том, что она ценит мою приватность. Если бы это было так, то такие жадные до данных компании, как Google и Facebook, продающие вашу информацию рекламодателям, просто не существовали бы.

Мне стало интересно, как часто используется это выражение. Я собрал все уведомления, отправленные генеральному прокурору штата Калифорния, которые компании обязаны по закону отправлять после каждой обнаруженной проблемы с безопасностью, свёл их вместе и превратил в машино-читаемый текст.

Примерно в 30% из всех 285 уведомлений встретились подобные выражения.

И это не говорит о том, что компании беспокоятся о наших данных. Это говорит о том, что они не знают, что делать дальше.

Прекрасный пример компании, которой всё равно. На прошлой неделе мы сообщали о том, что несколько пользователей сервиса OkCupid пожаловались на взлом их учётных записей. Скорее всего, взлом провели через подбор учётных данных [credential stuffing], когда хакеры берут список имён пользователей и паролей и пытаются методом простого перебора войти в учётную запись. Другие компании были научены опытом таких атак и потратили время на усиление безопасности, к примеру, введя двухфакторную аутентификацию.

Но вместо этого OkCupid избрал подход отвлечения, оправдания и отрицания, что часто бывает, когда компании пытаются сгладить отрицательное впечатление. Выглядело это так:

Отвлечение: «Все сайты периодически подвергаются попыткам взлома», заявила компания.
Оправдание: «Тут не о чем рассказывать», сказал компания в другой статье.
Отрицание: «Без комментариев», в ответ на вопрос о том, что компания собирается делать.

Было бы неплохо услышать, как OkCupid рассказывает, что беспокоится насчёт этого, и что собирается с этим сделать.

Все индустрии давно пренебрегают безопасностью. Большая часть современных взломов происходит в результате низкопробной поддержки безопасности, длившейся годами, а иногда и десятилетиями. Сегодня каждой компании приходится заниматься безопасностью – будь то банк, изготовитель игрушек или разработчик приложения.

Начать можно с малого: рассказать людям, как сообщить компании о недостатках, связанных с безопасностью, предложить награду за ошибки, чтобы поощрять подобные сообщения и пообещать добросовестным исследователям не подавать на них в суд. Основатели стартапов могут с самого начала взять человека на должность директора по безопасности. И тогда они окажутся в лучшем положении, чем 95% богатейших компаний мира, которые об этом не позаботились.

Но такого не происходит. Компаниям проще заплатить штрафы.

Target заплатила $18,5 млн за взлом, повлекший утечку информации о 41 млн кредиток, при том, что доход компании за год составил $72 млрд. Anthem заплатила $115 после взлома, поставившего под угрозу данные 79 млн владельцев страховок, а заработала в тот год $79 млрд. Помните Equifax? Крупнейшая утечка данных 2017 года не привела ни к чему, кроме разговоров.

Без мотивации к изменениям компании будут продолжать бездумно повторять свои пустые обещания. А вместо этого им стоило бы что-то предпринять на этот счёт.
Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 11

    +10
    Просто надо к таким заявлениям не относиться слишком серьёзно. Это всего лишь маркетинговый текст, из той же «оперы», что и «наш новый стиральный порошок стирает на 30% чище, чем наши конкуренты», «эти голубые гранулы (тм) дают восхитительную морозную свежесть» и т.д.
    Благодаря маркетингу мы сейчас живём в чудесном мире, в котором для доступа к частной почте с котиками и поздравляшечками мы используем шифрование и двухфакторную аутентификацию, а рассылка оперативных биржевых данных, подписка на которую стоит в год шестизначные цифры в долларах, до сих пор происходит по протоколу FTP образца 1971-го года.
      0
      а рассылка оперативных биржевых данных, подписка на которую стоит в год шестизначные цифры в долларах, до сих пор происходит по протоколу FTP образца 1971-го года.

      неужели все так печально?
        +2
        Я ничего не преувеличил, именно так и есть, ну разве что FTP там не поверх NTP, как в 1971-м, а всё-таки на TCP/IP стеке через Интернет :)
      +6
      Как в недавней истории с Альфа-банком, когда саппорт уверял, что фото «не могут попасть вообще никуда». А по факту там оказались даже не утечки, не взломы злых хакеров, а непрерывный каждодневный слив чего угодно чисто для поржать.
      Справедливости ради, наверняка и у многих других творится то же самое.
        +2
        «Наша молодая и динамично развивающаяся компания серьёзно относится к вашей приватности и безопасности»
          +2
          Статья ни о чём
          В чём заключается серьёзное отношение к безопасности ПД?
          — В усилиях, направленных на защиту ПД
          — в том, что развивая систему не забывают про поддержку этой защиты
          — в том, что усилия, направленные на защиту ПД касаются не только ПО, но и человеческого фактора (воспитание операторов) и тд

          Гарантирует ли это, что не будет утечки?
          Нет, утечка может быть при любой защите (но она менее вероятна при хорошей защите, да)

          Если утечка всё же произошла, а компания ведёт себя как засранец и не признаёт утечку или врёт о её причинах, значит ли это, что данные и не пытались защищать?
          Нет, не значит.

          Вот если бы в статье приводились примеры, типа:

          У %company% написано, что они серъезно относятся к ПД, а у самих в инет светится бд с дефолтными логином-паролем, а в бд пароли пользователей в незахэшированном виде — это было бы отличным примером
          И они есть наверняка

          Но автор просто поныл
            0
            Автор оригинальной статьи Zack Whittaker забугорный товарищ, поэтому про
            И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
            habr.com/ru/post/347760
            банально не знал :)
              0
              Например в прописанной ответственности за утечку данных. И не '$115'.

              Если вы обратите внимание, почти все современные «договора» составляются одной стороной. Вторая (пользователь, который, собственно, платит) не имеет возможности влиять ни на что.
              — «Мы используем куки, нажмите ок». Я не хочу использовать ваши сраные куки, где cancel?
              А его просто нет, как и выбора.
              — «Пользуясь нашей игрой вы обязуетесь не подавать на компанию в суд, мы можем использовать все ваши личные данные, бла-бла, кнопка Ок'. Cancel тоже нет.

              Это массово, не „пара частных случаев“.

                +1

                Вы, по-моему, что-то странное говорите.
                У вас есть второй вариант выбора: НЕ ПОЛЬЗУЙТЕСЬ теми услугами, условия которых вам не нравятся.


                Сайту создан с расчётом на использование куки. Владельцам сайта нужно пилить отдельную версию под каждого пользователя с уникальными пожеланиями?


                На мой взгляд требованте предупреждать пользователей про куки вообще было дурным делом.


                А вот второй ваш пример — тут всё проще: в правилах можно писать что угодно, но закон (своей страны) компании обязаны соблюдать в любом случае. Если Blizzard начнёт торговать вашей кредиткой — пофиг, что там в правилах, подавайте в суд.


                Одностороннее формирование правил есть, было и будет для случаев, когда один обслуживает неопределённое число клиентов. И так должно быть.

                  0
                  Вторая (пользователь, который, собственно, платит) не имеет возможности влиять ни на что.

                  Эти договора надо просто иначе воспринимать. Это не «Выберите удобный способ, как вам хотелось бы работать с нашим сервисом», а «Мы вам предлагаем использование нашего сервиса на вот таких условиях». Если вы не согласны, то просто не используйте этот сервис.
                0
                Это капитализм, поэтому желание продать третьим лицам персональные данные своих клиентов и заработать на этом еще денюжек вполне понятно. Обставить это можно и как утечку данных, и как взлом системы и т.д, и свалить всю ответственность на никому неизвестных хакеров — концы в воду, как говорится. Пользователи правды никогда не узнают. А автор статьи наивно думает, что там лохи сидят, которые безопасность обеспечить не могут.

                Only users with full accounts can post comments. Log in, please.