Все те годы, что я пишу о кибербезопасности, я сталкиваюсь с вариациями одной и той же лжи, возвышающейся над остальными. «Мы серьёзно относимся к вашей приватности и безопасности».
Вы могли сталкиваться с такой фразой то здесь, то там. Это распространённый речевой оборот, используемый компаниями после какой-нибудь утечки данных – либо в письме с извинениями к клиентам, либо на странице сайта, где компания рассказывает, как ценит ваши данные, хотя в следующем предложении так часто упоминается, как она допустила их утечку или использовала неправильно.
На самом же деле большинству компаний наплевать на приватность и безопасность ваших данных. Они беспокоятся только, когда им приходится объяснять клиентам, что их данные были украдены.
Я никогда не мог понять, что конкретно означает заявление компании о том, что она ценит мою приватность. Если бы это было так, то такие жадные до данных компании, как Google и Facebook, продающие вашу информацию рекламодателям, просто не существовали бы.
Мне стало интересно, как часто используется это выражение. Я собрал все уведомления, отправленные генеральному прокурору штата Калифорния, которые компании обязаны по закону отправлять после каждой обнаруженной проблемы с безопасностью, свёл их вместе и превратил в машино-читаемый текст.
Примерно в 30% из всех 285 уведомлений встретились подобные выражения.
И это не говорит о том, что компании беспокоятся о наших данных. Это говорит о том, что они не знают, что делать дальше.
Прекрасный пример компании, которой всё равно. На прошлой неделе мы сообщали о том, что несколько пользователей сервиса OkCupid пожаловались на взлом их учётных записей. Скорее всего, взлом провели через подбор учётных данных [credential stuffing], когда хакеры берут список имён пользователей и паролей и пытаются методом простого перебора войти в учётную запись. Другие компании были научены опытом таких атак и потратили время на усиление безопасности, к примеру, введя двухфакторную аутентификацию.
Но вместо этого OkCupid избрал подход отвлечения, оправдания и отрицания, что часто бывает, когда компании пытаются сгладить отрицательное впечатление. Выглядело это так:
Отвлечение: «Все сайты периодически подвергаются попыткам взлома», заявила компания.
Оправдание: «Тут не о чем рассказывать», сказал компания в другой статье.
Отрицание: «Без комментариев», в ответ на вопрос о том, что компания собирается делать.
Было бы неплохо услышать, как OkCupid рассказывает, что беспокоится насчёт этого, и что собирается с этим сделать.
Все индустрии давно пренебрегают безопасностью. Большая часть современных взломов происходит в результате низкопробной поддержки безопасности, длившейся годами, а иногда и десятилетиями. Сегодня каждой компании приходится заниматься безопасностью – будь то банк, изготовитель игрушек или разработчик приложения.
Начать можно с малого: рассказать людям, как сообщить компании о недостатках, связанных с безопасностью, предложить награду за ошибки, чтобы поощрять подобные сообщения и пообещать добросовестным исследователям не подавать на них в суд. Основатели стартапов могут с самого начала взять человека на должность директора по безопасности. И тогда они окажутся в лучшем положении, чем 95% богатейших компаний мира, которые об этом не позаботились.
Но такого не происходит. Компаниям проще заплатить штрафы.
Target заплатила $18,5 млн за взлом, повлекший утечку информации о 41 млн кредиток, при том, что доход компании за год составил $72 млрд. Anthem заплатила $115 после взлома, поставившего под угрозу данные 79 млн владельцев страховок, а заработала в тот год $79 млрд. Помните Equifax? Крупнейшая утечка данных 2017 года не привела ни к чему, кроме разговоров.
Без мотивации к изменениям компании будут продолжать бездумно повторять свои пустые обещания. А вместо этого им стоило бы что-то предпринять на этот счёт.