Equifax מקבל ציון אבטחת סייבר של אפס. קרדיט: RHONA WISE/EPA-EFE/REX/Shutterstock
ההפרת נתונים של Equifaxאסון הוא הקש האחרון.
זה לא יכול להימשך.
אנחנו לא יכולים לתת לחברות לזלזל בשיטות העבודה המומלצות של אבטחת סייבר ושכל ישר, ואיננו יכולים עוד להסתמך על מספרי תעודת זהות כצורה מאובטחת ודיסקרטית של זיהוי. Equifax לא חלקה את נוהלי אבטחת הסייבר שלה, אבל זה הוגן לומר שגם אם הם אכן היו נמוכים, סביר להניח שהיא תשרוד את הסערה הזו לאורך זמן, גם בזמן שהקורבנות סובלים.
הגיע הזמן לכמה שינויים.
Equifax, חברה הידועה בעיקר בסיוע לנו לבדוק את ציוני האשראי שלנו ולהגן על צרכנים מפני גניבת זהות(!) הודיעה ביום חמישי שהיא ספגה פריצה מסיבית שהשפיעה על 143 מיליון אמריקאים, שהם 44% מהאוכלוסייה. פרצת האבטחה המונומנטלית חשפה מיליוני ומיליוני סיביות נתונים אישיים להאקרים.
ראה גם:
הייתי צוחק אם זה לא היה כל כך מזעזע.
ל-Equifax נודע על ההפרה, שהגיעה ככל הנראה דרך אתר האינטרנט שלה (שזה לא מספיק מידע על הסיבה), בסוף יולי, חודשיים לאחר שהחלה. החברה מבטיחה שההאקרים לא ניגשו ל"מאגרי מידע בסיסיים של דיווחי אשראי צרכניים או מסחריים", אבל הם קיבלו את כל מה שחשוב: מספרי תעודת זהות, תאריכי לידה, כתובות ומספרי רישיון נהיגה.
גיהנום קדוש.
נראה שאין סוף להפרות מסוג זה. האקרים רואים בכל חברה מטרה, והם הצליחו בטירוףיאהו,יַעַד,סוני, ההוועד הלאומי הדמוקרטי,Verizon,HBO,אשלי מדיסון, ועוד רבים אחרים.
בכל פעם, החברה (או הקבוצה) מתנצלת, מבטיחה לתקן את זה, להגן על הלקוחות שלהם ולעשות טוב יותר.
"זהו ללא ספק אירוע מאכזב עבור החברה שלנו, וכזה שפוגע בלב של מי שאנחנו ומה שאנחנו עושים. אני מתנצל בפני הצרכנים והלקוחות העסקיים שלנו על הדאגה והתסכול שזה גורם", אמר היו"ר והמנכ"ל, ריצ'רד פ. סמית' בהצהרה.
חחחחחח!
מְאַכזֵב? הלב של מי שאתה? אתה חברה מטורפת להגנת זהות. דרך עסקי בדיקת האשראי שלך, יש לך גישה להרבה מהמידע הפיננסי היקר ביותר שלנו ואז אתה מבקש מאיתנו לשלם יותר עבור הגנת זהות. אירוע זה אמור להרוס את העסק שלך. זה לא יקרה, אבל זה צריך.
מהירות אור ניתנת לריסוק
אתה יודע למה זה לא יהיה? כי הפרות אלה לא סגרו אף אחד מהעסקים האלה. חלקם עומדים בפני ליטיגציה אזרחית ומשלמים, חלקם פשוט סובלים הרבה שיימינג ציבורי.
אף אחד מהם לא עומד לדין פלילי.
אף אחד לא לומד כלום, בטח לא החברה הבאה שתיפגע. הם פשוט מסתכלים ונושמים לרווחה שזה לא הם.
כמה כללים חדשים
שום דבר לא ישתנה כאן עד שיהיו לנו סטנדרטים לאומיים לאבטחת מידע ועונשים חזקים על אי יישום הטכנולוגיות, הבלמים והאיזונים הדרושים.
כרגע בארה"ב, רק לקומץ של תעשיות יש תקנות פדרליות מחייבות אבטחת סייבר. אלה כוללים את חוק הניידות והאחריות של ביטוח בריאות (HIPAA) עבור שירותי בריאות ואת חוק ביטחון המולדת משנת 2002, שנחקק בעקבות התקפות ה-11 בספטמבר, עבור הממשלה הפדרלית. אפילו בפיננסים, שיש להם מנדטים פדרליים נוקשים אחרים לגילויים פיננסיים ובקרה פנימית, המחוקקיםמאבק ליישם כללי אבטחת סייבר גורפים.
האמת בדיווח הכספי נראית כמטרה ראויה, לא פחות מבטיחות באבטחת מידע. ובכל זאת אין כמעט שום דבר שיעודד עסקים כלליים לנקות את אקט אבטחת הסייבר שלו. לשם השוואה, החוק Sarbanes-Oxley, שהביאה ניהול פיננסי ורגולציה גורפת לממשל תאגידי לעסקים בארה"ב ב-2002, קבעה קנסות כבדים ועונשי מאסר למי שלא פועל לפיה. במילים פשוטות, Sarbanes-Oxley מחייבת שהנהלת החברה חייבת לאשר את הדיוק של כל הדוחות הכספיים ולחוקק בקרות פנימיות יקרות.
אחת הסיבות להיעדר כללי אבטחת סייבר היא שאבטחת נתונים ושיטות עבודה מומלצות בעסקים הם רשת מורכבת של חומרה ותוכנה מדור קודם, שיטות עבודה ביזנטיות ודאגות בשורה התחתונה.
חברות המפעילות מערכות הפעלה ישנות הן כבר מזמן יעדי פריצה עיקריים. רובם ממשיכים להריץ תוכנה ישנה כי 1) שדרוג עולה כסף ו-2) התעשיות האנכיות שהם משרתים משתמשות בתוכנה ישנה שאינה פועלת על הפלטפורמה או החומרה החדשים ביותר.
אבל זו לא רק התוכנה. חברות כמו Equifax, Yahoo, הוועדה הלאומית הדמוקרטית ואחרות אינן עוקבות אחר שיטות עבודה מומלצות בכל הנוגע לאבטחת סייבר. הם לא מגנים או מגבים את מסדי הנתונים שלהם מחוץ לאתר, הם לא מאמנים את העובדים שלהם לא לפתוח מיילים לא ידועים, ללחוץ על קישורים אקראיים או כיצד לזהות התקפת הנדסה חברתית.
תקנות אבטחת סייבר בעלות אותה עוצמה כמו Sarbanes-Oxley ועונשים ישנו זאת. זה ימנע מחברות לשבת בחיבוק ידיים ולקוות שיוכלו להתחמק מהכדור, כמו שצעירים נמנעים מהרופא כי הם מאמינים שלעולם לא יוכלו לחלות.
ב-2016, 28 מדינות היו או שקלוחקיקת אבטחת סייבר, אבל רובו מתייחס רק למערכות ושירותים שבשליטת המדינה ואינו מסתכל על העסקים המנהלים מידע צרכני.
אם אתה חושב שהרעיון של הזנת אבטחת סייבר בכוח לעסקים הוא דרקוני, תסתכל על Microsoft Windows 10. הפלטפורמה הזו כבר לא שואלת אותך אם היא יכולה לשדרג, היא רק מאפשרת לך לציין מתי. מַדוּעַ? לכן, למשתמשים ביתיים יכולים להיות המערכות המעודכנות והמאובטחות ביותר. מיקרוסופט אפילו לא משאירה את אבטחת הסייבר בידי חברות צד שלישי יותר (אתה עדיין יכול לקנות אותה אם תרצה). במקום זאת, יש את Windows Defender. זה בחינם, תמיד מעודכן ופועל 24/7 במחשב Windows 10.
חקיקה אידיאלית להסדרת אבטחת סייבר תיצור את הבסיס לסוכנויות הדירוג לעקוב אחר יכולות אבטחת הסייבר של חברות. אז Equifax יקבל Equifax. איכות אבטחת הסייבר של חברה על פני מגוון רחב של מדדים (מערכות מעודכנות, נתונים מוצפנים, הכשרה רחבה של החברה) תביא לציון, בדומה לציון האשראי של האדם; 1 יהיה הגרוע ביותר ו-5 יהיה הטוב ביותר. פָּשׁוּט.
אם הייתי כותב את החקיקה הזו, הייתי קושר אותה גם לפירוק מספר הביטוח הלאומי ככלי זהות. מספרים הם דברים שטוחים וניתנים לגילוי, והעובדה שאנו משתמשים בשילוב של תשע ספרות כמפתח השלד לחיים צריכה להדאיג את כולם.
יש לנו אפשרויות. אבטחה ביומטרית צומחת בצעדי ענק. זיהוי פנים ברמה שיש לי איתהאי אפשר לרמות את Windows Helloעם תמונה או מישהו שנראה כמעט בדיוק כמוני. סריקת איריס היא אפילו יותר חסינת תקלות ועכשיו בסמארטפונים כמוסמסונג גלקסי S8והערה 8. יש לנו חיישני פעימות לב שבסופו של דבר אולי רגילים אליהםלזהות את הקצב הייחודישל כל לב.
חוק אבטחת סייבר חדש, עם כמה שיניים רגולטוריות אמיתיות (קרא עונשים) יכול לקבוע ציר זמן לפרישה של מספרי ביטוח לאומי, לתת לעסקים ולאנשים חמש שנים לשנות מערכות ולשדרג לביומטריה.
להשאיר את הדברים האלה למקרה ולגחמות העסקים, שאכפת להם מכסף יותר מאשר ממך, כבר לא בר-קיימא.
זה חייב להסתיים.
לאנס אולנוף היה הכתב הראשי והעורך ב-Large של Mashable. לאנס שימש כחבר בכיר בצוות העריכה, תוך התמקדות בהגדרת תוכן דעה פנימי ואצור. הוא גם עזר לפתח כישורי סיפור אלטרנטיביים בכל הצוות ויישום של כלי מדיה חברתית במהלך אירועים חיים. לפני שהצטרף ל-Mashable בספטמבר 2011, לאנס אולנוף שימש כעורך ראשי של PCMag.com וסגן נשיא בכיר לתוכן עבור Ziff Davis, Inc. בזמן שהוא שם, הוא הדריך את המותג לקיום דיגיטלי של 100% ופיקח על אסטרטגיית תוכן לכולם מאתרי האינטרנט של זיף דיוויס. הטור הארוך שלו ב-PCMag.com זיכה אותו בפרס ארד מה-ASBPE. Winmag.com, HomePC.com ו-PCMag.com זכו כולם לכבוד בהדרכתו של לאנס. הוא מופיע תכופות בתוכניות חדשות לאומיות, בינלאומיות ומקומיות כולל Fox News, The Today Show, Good Morning America, Kelly and Michael, CNBC, CNN וה-BBC. הוא גם הציע פרשנות ברדיו הציבורי הלאומי והתראיין לעיתונים ותחנות רדיו ברחבי הארץ. לאנס היה דובר אורח מוזמן במספר רב של כנסים טכנולוגיים, כולל SXSW, Think Mobile, CEA Line Shows, Digital Life, RoboBusiness, RoboNexus, Business Foresight ו-Digital Media Wire's Games and Mobile Forum.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
