En mis años cubriendo la ciberseguridad, hay una variación de la misma mentira que flota sobre el resto. "Nos tomamos en serio su privacidad y seguridad".
Es posible que haya escuchado la frase aquí y allá. Es un tropo común utilizado por las empresas después de una violación de datos, ya sea en un "mea culpa" envíe un correo electrónico a sus clientes o una declaración en su sitio web para informarle que se preocupa por sus datos, a pesar de que en la siguiente oración admiten con demasiada frecuencia que los utilizan incorrectamente o los pierden.
La verdad es que la mayoría de las empresas no se preocupan por la privacidad o la seguridad de sus datos. Se preocupan por tener que explicar a sus clientes que sus datos fueron robados.
Nunca entendí exactamente lo que significa cuando una empresa dice que valora mi privacidad. Si ese fuera el caso, las empresas hambrientas de datos como Google y Facebook, que venden datos sobre usted a anunciantes, ni siquiera existirían.
Tenía curiosidad por la frecuencia con la que se utilizaba este forro. Rastreé todas las notificaciones informadas al procurador general de California, un requisito de la ley estatal en caso de incumplimiento o falta de seguridad, las uní y las convertí en texto legible por máquina.
Alrededor de un tercio de las 285 notificaciones de violación de datos tuvo alguna variación de la línea.
No muestra que las empresas se preocupen por sus datos. Esto demuestra que no saben qué hacer a continuación.
Un ejemplo perfecto de una empresa que no le importa: la semana pasada, informamos que varios usuarios de OkCupid se habían quejado de que sus cuentas habían sido pirateadas. Es más probable que no, las cuentas se vieron afectadas por el relleno de credenciales, donde los piratas informáticos toman listas de nombres de usuario y contraseñas e intentan forzar su entrada en las cuentas de las personas. Otras compañías han aprendido de tales ataques y se tomaron el tiempo para mejorar la seguridad de la cuenta, como el despliegue de la autenticación de dos factores.
En cambio, la respuesta de OkCupid fue desviar, defender y negar, una forma común en que las empresas pueden adelantarse a una historia negativa. Se veía así:
- Desviar: "Todos los sitios web experimentan constantemente intentos de adquisición de cuentas", dijo la compañía.
- Defender: "No hay historia aquí", la compañía dijo más tarde a otra publicación.
- Denegar: "No hay más comentarios", cuando se le preguntó qué hará la compañía al respecto.
Habría sido genial escuchar a OkCupid decir que le importaba el asunto y qué iba a hacer al respecto.
Cada industria ha descuidado durante mucho tiempo la seguridad. La mayoría de las violaciones de hoy son el resultado de una seguridad de mala calidad durante años o, a veces, décadas, regresando para perseguirlas. Hoy en día, cada empresa debe ser una empresa de seguridad, ya sea un banco, un fabricante de juguetes o un único desarrollador de aplicaciones.
Las empresas pueden comenzar poco a poco: decirle a la gente cómo comunicarse con ellos por fallas de seguridad, ofrecer una recompensa de errores para alentar el envío de errores y otorgar a los investigadores de buena fe un lugar seguro prometiendo no demandar. Los fundadores de empresas nuevas también pueden llenar su suite ejecutiva con un director de seguridad desde el principio. Estarían mejor que el 95 por ciento de las empresas más ricas del mundo que ni siquiera se han molestado.
Pero esto no es lo que sucede. En cambio, las empresas prefieren pagar las multas.
Target pagó $ 18.5 millones por una violación de datos que atrapó a 41 millones de tarjetas de crédito, en comparación con los ingresos anuales de $ 72 mil millones. Anthem pagó $ 115 millones en multas después de que una violación de datos puso en riesgo la información de 79 millones de tenedores de seguros, sobre los ingresos de ese año de $ 79 mil millones. Y, ¿recuerdas a Equifax? La brecha más grande de 2017 llevó a todos a hablar pero no a la acción.
Sin ningún incentivo para cambiar, las compañías continuarán repitiendo sus habituales comentarios vacíos. En su lugar, deberían hacer algo al respecto.
Source link