מה אנו יכולים לעשות בנוגע לאיומים המתגברים על פרטיותנו באופן מקוון וגניבת מידע אישי חשוב? לארי טרכטנברג יש כמה רעיונות.
בשנה שעברה יצא לדרך עם קיימברידג 'אנליטיקה שנחשפה לרכישת גישה לנתונים פרטיים על לפחות 87 מיליון משתמשי פייסבוק וסוכמה עם מריוט שהודיעה כי 500 מיליון מחשבונותיה נפרצו.
Quora, MyFitnessPal, Google+, MyHeritage ולורד וטיילור חוו לאחרונה גם הפרות אבטחה ברשת - שכל אחת מהן חשפה את הנתונים הרגישים של מיליוני משתמשים.
כאן, טרכטנברג, פרופסור להנדסת חשמל ומחשבים באוניברסיטת בוסטון, מומחה לאבטחת סייבר, וחבר ברית הסייבר של האוניברסיטה, נותן את דעתו על האיומים הנרחבים ביותר בנושא אבטחת סייבר בחודשים הקרובים - ואת המדיניות, התקנות והנהלים העסקיים. שיכולים לעזור להפחית את הסיכון בסייבר ולהגביר את הגנת הפרטיות.
Q
מהו האיום הנפוץ ביותר בנושא אבטחת סייבר שעלינו להיות מודעים אליו?
A
אני מאמין ש"פרטיות "תשלט השנה על החששות שלנו. כבר ראינו כיצד ניתן למנף דליפות פרטיות חסרות חשיבות לכאורה (כלומר, פוסטים בפייסבוק לחברים) לטובת פוליטיקה (כלומר, בחירות 2016), ואני מצפה שגופי החקיקה ייקחו עמדה חזקה יותר ויותר לגבי זכויות הנתונים של הצרכנים - כפי שקרה כבר באירופה עם התקנה הכללית להגנת נתונים.
עסקים יכולים להקדים זאת על ידי הצעת הגנה שקופה וניתנת לאימות באופן עצמאי עבור הצרכנים. עם זאת, מתברר יותר ויותר כי מעט מאוד הצרכנים יכולים לעשות בכדי למתן את אובדן הפרטיות שלהם מצדדים שלישיים (איתם, לעתים קרובות מאוד, הם אפילו לא מקיימים קשר). אולי המקרה היעיל ביותר (במדינות דמוקרטיות) הוא פוליטי.
Q
מהם פערי המדיניות הגדולים ביותר מנקודת מבט של פרטיות שיש לטפל בהם?
A
ביחס לפרטיות הנתונים, אני חושב שהמשימה החשובה ביותר שיכולה לבצע על ידי הממשלה (לא רק הבית הלבן, אלא גם הקונגרס והרשות השופטת) היא להגדיר אחריות ברורה לאובדן הפרטיות.
כיום חברות יכולות לאבד מידע אישי ורגיש על מיליוני לקוחות עם מעט יותר מסטיגמה חברתית (אשר לחברות יש ניסיון רב במאבק באמצעות מחלקות יחסי הציבור שלהן). בתי המשפט שלנו לא יודעים לשים סכום דולר על אובדן הפרטיות של האדם. כתוצאה מכך, אין תמריץ פיננסי ברור וחזק לחברות להדק את הגנות הפרטיות שלהן.
אחריות הוכיחה דרך מצוינת לטפל בבעיות כאלה בנוף המוצרים, שם, למשל, יצרנים בודקים כעת את הציוד החשמלי שלהם בקפידה ומקבלים הסמכת מעבדות חיתום או מסתכנים בתביעות משמעותיות אם אנשים נפצעים. כדי לראות הצלחה דומה בעולם הסייבר, אנו זקוקים להגדרה מוגדרת ואכיפה של אחריות לפרטיות.
Q
האם אתה חושב שיהיה דחף לתקנות נוספות לגבי האופן שבו חברות טכנולוגיה גדולות, כמו פייסבוק וגוגל, משתמשות ומייצרות רווח מנתוני צרכנים?
A
אני חושב שיהיה דחף לפירוק חברות טכנולוגיה גדולות או להסדיר אותן הרבה יותר. חברות הטכנולוגיה הגדולות שומרות על שליטה על כמויות נתונים חסרות תקדים היסטוריות שבעזרת המחשוב המודרני הן מאוד אינדיבידואליות.
מצד אחד נראה כי יש להם את הכוח להניע בחירות ומדיניות חברתית, לנווט את שוקי הפיננסים והמניות ולקרוא מגמות בקנה מידה שמעולם לא היה אפשרי. מצד שני, העושר החדש שלהם מאפשר להם להניע אתגרים גדולים וחזון טכני שלא ניתן לחוקק בקנה מידה קטן יותר (כלומר כלי רכב אוטונומיים, אנציקלופדיות גלובליות הניתנות לחיפוש, שווקי קנייה ברחבי העולם וכו ').
ההעדפה שלי תהיה לפרק את החברות הגדולות במקום להסדיר אותן, מכיוון שתקנות ללא פרצות קשה לשמצה לכתוב כראוי מבלי להחניק חדשנות ושקיפות.
Q
פרטיות נתונים ואבטחת נתונים נחשבים זה מכבר לשתי משימות נפרדות עם שתי מטרות נפרדות. אתה חושב שזה משתנה?
A
ביחס לפרטיות נתונים לעומת אבטחה, הייתי אומר שהשניים אינם ניתנים להפרדה טכנית (אך לא חברתית). הפרות אבטחה אחראיות לאובדן פרטיות עצום, ולעיתים קרובות ניתן למנף הפרות פרטיות בגין פרצות אבטחה. עם זאת, כפי שציינתי קודם, בניגוד לתחום אבטחת הסייבר הרחב, יש מעט מאוד אינטרס פיננסי בהגנה על הפרטיות בנוף התעשייתי של ימינו (או בכנות).
Q
הצרכנים מקדישים תשומת לב רבה יותר לשמירה על השמירה על פרטיותם האישית ונתוניהם מתאגידים. מלבד תקנות מדיניות אפשריות, האם לדעתך יופיעו פתרונות טכנולוגיים חדשים שיעזרו לצרכנים לשמור על שליטה טובה יותר בנתונים שלהם?
A
נוף האיום הטכנולוגי הוא עצום, ואין לנו ממש ידיעה כיצד להגן עליו טכנית. המחשבה האישית שלי היא שהמשימה היא בלתי אפשרית - בדומה להכנת מנעול חסין ברירה או ספינה שאינה ניתנת לטבילה. במקום זאת, עלינו למקד את תשומת ליבנו בפתרונות טכניים ומשפטיים משותפים.
Q
מה צריכים קציני אבטחת סייבר של ימינו לעשות בכדי למתן את הסיכון ההולך וגדל של פרטיות הנתונים?
A
תמיד צריך לעשות עוד בתחום אבטחת הסייבר, אבל יש כמה "שיטות עבודה מומלצות" בסיסיות שכל קצין אבטחת מידע ראשי צריך להכיר ולהכשיר את העובדים לקיים.
אחת הדרכים למתן סיכון פרטיות היא, בפשטות, לא לאחסן או לעבד מידע פרטי או רגיש. חברות צריכות לחשוב היטב על כל פיסת מידע שהם מקבלים מלקוחות, ולשקול את התועלת שיש במידע זה מול הסיכון לאבד אותו. הבעיה היא שלעתים קרובות, חברות לא מבינות עד כמה נזק לאובדן המידע יכול להיות.
לדוגמא, הפרת הלינקדאין 2012 של סיסמאות חשיפה (גרועות) תשמש מאוחר יותר באימיילים של סחיטה, שהשתמשו בסיסמאות הסדוקות כדי לשכנע את הנמענים האומללים כי הסחטנים מחזיקים מידע.
Q
היכן לדעתך יש צורך במימון הרב ביותר במחקר אבטחת סייבר? האם יש תחומים שלדעתך צריך לתעדף?
A
אני חושב שארצות הברית זקוקה, די נואש, למימון נוסף למחקר בסיסי מכל הסוגים, ולא רק למחקר אבטחת סייבר. חדשנות אמיתית לא מגיעה לעתים קרובות מהדרכה מנהלית, אלא דרך השראה ורדיפת רעיונות בלתי צפויים.
Q
איזו השפעה היית רוצה להשיג במרחב הסייבר / פרטיות הסייבר?
A
ניתחתי את התחום המתפתח של ערוצים צדדיים, שם המידע דולף (בדרך כלל לא בכוונה) מהשימוש הקבוע במכשירים ותוכנות טכניות. המטרה שלי תהיה לפתח כמה מאפיינים רחבים וכוללים של ערוצים אלה, היכן הם נוצרים וכיצד נוכל למתן אותם. ההשפעה של עבודה כזו תהיה עולם טכני בטוח ופתוח יותר - אך מעט מאוד אנשים באמת יבינו זאת.
מקור: אוניברסיטת בוסטון
ספרים קשורים
at InnerSelf Market ואמזון
