Все те годы, что я пишу о кибербезопасности, я сталкиваюсь с вариациями одной и той же лжи, возвышающейся над остальными. «Мы серьёзно относимся к вашей приватности и безопасности».
Вы могли сталкиваться с такой фразой то здесь, то там. Это распространённый речевой оборот, используемый компаниями после какой-нибудь утечки данных – либо в письме с извинениями к клиентам, либо на странице сайта, где компания рассказывает, как ценит ваши данные, хотя в следующем предложении так часто упоминается, как она допустила их утечку или использовала неправильно.
На самом же деле большинству компаний наплевать на приватность и безопасность ваших данных. Они беспокоятся только, когда им приходится объяснять клиентам, что их данные были украдены.
Я никогда не мог понять, что конкретно означает заявление компании о том, что она ценит мою приватность. Если бы это было так, то такие жадные до данных компании, как Google и Facebook, продающие вашу информацию рекламодателям, просто не существовали бы.
Мне стало интересно, как часто используется это выражение. Я собрал все уведомления, отправленные генеральному прокурору штата Калифорния, которые компании обязаны по закону отправлять после каждой обнаруженной проблемы с безопасностью, свёл их вместе и превратил в машино-читаемый текст.
Примерно в 30% из всех 285 уведомлений встретились подобные выражения.
И это не говорит о том, что компании беспокоятся о наших данных. Это говорит о том, что они не знают, что делать дальше.
Прекрасный пример компании, которой всё равно. На прошлой неделе мы сообщали о том, что несколько пользователей сервиса OkCupid пожаловались на взлом их учётных записей. Скорее всего, взлом провели через подбор учётных данных [credential stuffing], когда хакеры берут список имён пользователей и паролей и пытаются методом простого перебора войти в учётную запись. Другие компании были научены опытом таких атак и потратили время на усиление безопасности, к примеру, введя двухфакторную аутентификацию.
Но вместо этого OkCupid избрал подход отвлечения, оправдания и отрицания, что часто бывает, когда компании пытаются сгладить отрицательное впечатление. Выглядело это так:
Отвлечение: «Все сайты периодически подвергаются попыткам взлома», заявила компания.
Оправдание: «Тут не о чем рассказывать», сказал компания в другой статье.
Отрицание: «Без комментариев», в ответ на вопрос о том, что компания собирается делать.
Было бы неплохо услышать, как OkCupid рассказывает, что беспокоится насчёт этого, и что собирается с этим сделать.
Все индустрии давно пренебрегают безопасностью. Большая часть современных взломов происходит в результате низкопробной поддержки безопасности, длившейся годами, а иногда и десятилетиями. Сегодня каждой компании приходится заниматься безопасностью – будь то банк, изготовитель игрушек или разработчик приложения.
Начать можно с малого: рассказать людям, как сообщить компании о недостатках, связанных с безопасностью, предложить награду за ошибки, чтобы поощрять подобные сообщения и пообещать добросовестным исследователям не подавать на них в суд. Основатели стартапов могут с самого начала взять человека на должность директора по безопасности. И тогда они окажутся в лучшем положении, чем 95% богатейших компаний мира, которые об этом не позаботились.
Но такого не происходит. Компаниям проще заплатить штрафы.
Target заплатила $18,5 млн за взлом, повлекший утечку информации о 41 млн кредиток, при том, что доход компании за год составил $72 млрд. Anthem заплатила $115 после взлома, поставившего под угрозу данные 79 млн владельцев страховок, а заработала в тот год $79 млрд. Помните Equifax? Крупнейшая утечка данных 2017 года не привела ни к чему, кроме разговоров.
Без мотивации к изменениям компании будут продолжать бездумно повторять свои пустые обещания. А вместо этого им стоило бы что-то предпринять на этот счёт.
Комментарии (11)
dom1n1k
24.02.2019 15:03+3Как в недавней истории с Альфа-банком, когда саппорт уверял, что фото «не могут попасть вообще никуда». А по факту там оказались даже не утечки, не взломы злых хакеров, а непрерывный каждодневный слив чего угодно чисто для поржать.
Справедливости ради, наверняка и у многих других творится то же самое.
HangGlider
24.02.2019 18:06«Наша молодая и динамично развивающаяся компания серьёзно относится к вашей приватности и безопасности»
Ghool
24.02.2019 23:16Статья ни о чём
В чём заключается серьёзное отношение к безопасности ПД?
— В усилиях, направленных на защиту ПД
— в том, что развивая систему не забывают про поддержку этой защиты
— в том, что усилия, направленные на защиту ПД касаются не только ПО, но и человеческого фактора (воспитание операторов) и тд
Гарантирует ли это, что не будет утечки?
Нет, утечка может быть при любой защите (но она менее вероятна при хорошей защите, да)
Если утечка всё же произошла, а компания ведёт себя как засранец и не признаёт утечку или врёт о её причинах, значит ли это, что данные и не пытались защищать?
Нет, не значит.
Вот если бы в статье приводились примеры, типа:
У %company% написано, что они серъезно относятся к ПД, а у самих в инет светится бд с дефолтными логином-паролем, а в бд пароли пользователей в незахэшированном виде — это было бы отличным примером
И они есть наверняка
Но автор просто понылED-209
25.02.2019 13:04Автор оригинальной статьи Zack Whittaker забугорный товарищ, поэтому про
И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
habr.com/ru/post/347760
банально не знал :)
Al_Azif
26.02.2019 11:27Например в прописанной ответственности за утечку данных. И не '$115'.
Если вы обратите внимание, почти все современные «договора» составляются одной стороной. Вторая (пользователь, который, собственно, платит) не имеет возможности влиять ни на что.
— «Мы используем куки, нажмите ок». Я не хочу использовать ваши сраные куки, где cancel?
А его просто нет, как и выбора.
— «Пользуясь нашей игрой вы обязуетесь не подавать на компанию в суд, мы можем использовать все ваши личные данные, бла-бла, кнопка Ок'. Cancel тоже нет.
Это массово, не „пара частных случаев“.
Ghool
26.02.2019 12:57+1Вы, по-моему, что-то странное говорите.
У вас есть второй вариант выбора: НЕ ПОЛЬЗУЙТЕСЬ теми услугами, условия которых вам не нравятся.
Сайту создан с расчётом на использование куки. Владельцам сайта нужно пилить отдельную версию под каждого пользователя с уникальными пожеланиями?
На мой взгляд требованте предупреждать пользователей про куки вообще было дурным делом.
А вот второй ваш пример — тут всё проще: в правилах можно писать что угодно, но закон (своей страны) компании обязаны соблюдать в любом случае. Если Blizzard начнёт торговать вашей кредиткой — пофиг, что там в правилах, подавайте в суд.
Одностороннее формирование правил есть, было и будет для случаев, когда один обслуживает неопределённое число клиентов. И так должно быть.
DrPass
26.02.2019 13:16Вторая (пользователь, который, собственно, платит) не имеет возможности влиять ни на что.
Эти договора надо просто иначе воспринимать. Это не «Выберите удобный способ, как вам хотелось бы работать с нашим сервисом», а «Мы вам предлагаем использование нашего сервиса на вот таких условиях». Если вы не согласны, то просто не используйте этот сервис.
lotse8
26.02.2019 17:02Это капитализм, поэтому желание продать третьим лицам персональные данные своих клиентов и заработать на этом еще денюжек вполне понятно. Обставить это можно и как утечку данных, и как взлом системы и т.д, и свалить всю ответственность на никому неизвестных хакеров — концы в воду, как говорится. Пользователи правды никогда не узнают. А автор статьи наивно думает, что там лохи сидят, которые безопасность обеспечить не могут.
DrPass
Просто надо к таким заявлениям не относиться слишком серьёзно. Это всего лишь маркетинговый текст, из той же «оперы», что и «наш новый стиральный порошок стирает на 30% чище, чем наши конкуренты», «эти голубые гранулы (тм) дают восхитительную морозную свежесть» и т.д.
Благодаря маркетингу мы сейчас живём в чудесном мире, в котором для доступа к частной почте с котиками и поздравляшечками мы используем шифрование и двухфакторную аутентификацию, а рассылка оперативных биржевых данных, подписка на которую стоит в год шестизначные цифры в долларах, до сих пор происходит по протоколу FTP образца 1971-го года.
gonchik
неужели все так печально?
DrPass
Я ничего не преувеличил, именно так и есть, ну разве что FTP там не поверх NTP, как в 1971-м, а всё-таки на TCP/IP стеке через Интернет :)