Tại sao những chuyên gia bảo mật IT lại có thể đáng sợ hơn những kẻ xấu

Tôi nghĩ tôi đã nuôi dưỡng một lượng hoang tưởng lành mạnh trước khi tôi đến Hội nghị RSA tuần này cho các chuyên gia bảo mật CNTT ở San Francisco. Nhưng bây giờ tôi chỉ đơn giản là sợ hãi chứ không phải về tin tặc và kẻ lừa đảo, những kẻ lừa đảo lâu năm của Internet ngầm.

Không, những người làm tôi sợ hơn nữa là những chuyên gia bảo mật làm việc cho doanh nghiệp lớn. Họ muốn dữ liệu trực tuyến của tôi, dữ liệu trực tuyến của bạn, dữ liệu trực tuyến của mọi người.

Doanh nghiệp lớn không phải là hiện thân ác, và các công ty kêu gọi dữ liệu của chúng tôi không phải là đại lý hủy diệt, người sẽ ăn cắp danh tính của chúng tôi vì lợi nhuận hoặc xóa bỏ gia đình của chúng tôi hình ảnh chỉ dành cho đá. Nhưng với các nhà lãnh đạo kinh doanh tại các trang thương mại điện tử, các mạng xã hội, và thậm chí cả các ngân hàng, sự riêng tư trực tuyến là một thứ phải được quản lý tốt nhất và giảm thiểu.

[Đọc thêm: Cách gỡ bỏ phần mềm độc hại khỏi PC Windows]

Đó là một sự khó chịu phải được xử lý với.

Họ muốn dữ liệu của chúng tôi để họ có thể theo dõi chúng tôi, phân loại chúng tôi và sử dụng những gì họ biết về chúng tôi để bán cho chúng tôi thứ gì đó hoặc bán những gì họ biết về chúng tôi cho người khác. Hoặc, như Trevor Hughes, Chủ tịch và Giám đốc điều hành của Hiệp hội quốc tế về các chuyên gia bảo mật (IAPP), đã nói trực tiếp với tôi, "Dữ liệu của bạn là tiền tệ của nền kinh tế thông tin.

Và hoạt động trực tuyến của chúng tôi đang đúc thêm tiền

Dữ liệu của chúng tôi là tiền tệ

Chỉ mất một giờ gây sốc tại hội nghị RSA để tiêu diệt mọi hy vọng ngây thơ mà tôi có thể có về quyền riêng tư trực tuyến. Hughes đã nói chuyện với một lượng lớn các chuyên gia CNTT có nhiệm vụ quản lý dữ liệu khách hàng và người dùng, và đặt tên cho những vấn đề riêng tư của nút nóng trong năm: dữ liệu vị trí, nhận dạng khuôn mặt và Không theo dõi. Ông cũng đề cập đến các chủ đề sâu rộng hơn như quy định của liên bang và chính sách công.

IAPP "Dữ liệu của bạn là tiền tệ của nền kinh tế thông tin mới", Trevor Hughes, thuộc IAPP nói. là một cá nhân hoạt động, lướt web, nhưng tôi cũng nhanh chóng nhận ra rằng những người tham dự khác trong phòng đã xem xét các vấn đề này từ

bên kia từ quan điểm của các công ty, thu thập dữ liệu khách hàng và sử dụng Công việc của họ không phải là lo lắng về việc bảo vệ quyền riêng tư của chúng tôi, nhưng phải lo lắng về việc điều hướng các quy định về quyền riêng tư và bảo vệ bản thân khỏi các vụ kiện và tiền phạt. Một ví dụ điển hình mà Hughes trích dẫn là giấy hướng dẫn về quyền riêng tư dành cho điện thoại di động do văn phòng Tổng chưởng lý California phát hành hồi đầu năm nay, để bổ sung Đạo luật bảo vệ quyền riêng tư trực tuyến của California (COPPA). Trong một thông điệp kèm theo các hướng dẫn, Tổng chưởng lý Kamala Harris đã khuyến khích các nhà phát triển ứng dụng di động áp dụng cách tiếp cận "giảm thiểu bất ngờ" để cảnh báo người dùng và kiểm soát các thực hành dữ liệu không liên quan đến chức năng cơ bản của ứng dụng hoặc liên quan đến thông tin nhạy cảm. " Nói dễ hơn là thực hiện trên màn hình nhỏ của nền tảng di động, Hughes nói: "Giao diện người dùng đó vô cùng hạn chế."

Vị trí của bạn, hoạt động của bạn, khuôn mặt của bạn: tất cả các trò chơi công bằng

Hughes cũng khắc sâu vào các vấn đề xung quanh "contextualization "-Sử dụng dữ liệu trực tuyến của bạn để tùy chỉnh" nội dung "(đọc: quảng cáo) cho thói quen duyệt web và nhân khẩu học cá nhân của bạn. Rõ ràng, ngữ cảnh hóa đã là một công cụ kinh doanh phổ biến (và có lợi nhuận), vì bất kỳ ai có kinh nghiệm quảng cáo được nhắm mục tiêu trên Google đều đã biết.

Mặc dù vậy, tập dữ liệu được sử dụng cho ngữ cảnh hóa là lặn sâu hơn. "Bối cảnh sẽ đặt cuộc tranh luận về các quảng cáo nhắm mục tiêu trên steroid," Hughes nói với đám đông. "Không chỉ chúng tôi sẽ có sự nhạy cảm về nơi bạn đã trực tuyến, nhưng bạn đang ở đâu trên thế giới, và những gì bạn đang làm và suy nghĩ."

Ồ, nhưng nó trở nên tốt hơn. Nhận diện khuôn mặt, bất cứ ai? Bạn có thể nói với bạn bè của bạn không gắn thẻ bạn vào ảnh của họ tất cả những gì bạn muốn, nhưng đó là khoai tây nhỏ.

"Chúng tôi sẽ thấy sự nặc danh của đám đông tiêu tan", Hughes nói. ở những nơi công cộng, sẽ được sử dụng để tìm bạn ở bất cứ đâu. Hãy nhớ những cuốn sách thiếu nhi của Waldo ở đâu

ở đâu?, nơi bạn phải tìm Waldo trong số những đám đông khổng lồ ở những nơi nổi tiếng trên thế giới? Ai biết rằng Waldo hạnh phúc, len lỏi sẽ là người báo trước những vấn đề về quyền riêng tư. Đừng theo dõi tôi … làm ơn?

Khi chính quyền Obama giới thiệu Bản quyền riêng tư của người tiêu dùng vào tháng 2 năm 2012, hóa đơn trích dẫn "các công nghệ tăng cường sự riêng tư như cơ chế 'Không theo dõi'" như các biện pháp bảo vệ chống lại nhiều chiến thuật mà các thành viên khán giả của Hughes muốn giữ lại. Chọn không được theo dõi và các trang web sẽ không thể thu thập thông tin về bạn. Đó là sự bảo vệ tối thượng, phải không? Không, suy nghĩ lại.

"Không theo dõi là một vấn đề rất, rất phức tạp và đầy thử thách", Hughes nói. Thật vậy, không có triển khai chuẩn cho việc theo dõi dữ liệu từ trình duyệt đến trình duyệt và đó là một sự thật bất tiện cho bất kỳ ai cần thực hiện chính sách liên bang (chưa được thông qua). Nhưng đối với Hughes, vấn đề thực sự của các chuyên gia về quyền riêng tư là, "làm cách nào để tắt hoặc duy trì nó được tắt".

Có, bạn đã nghe đúng: Không theo dõi sẽ chỉ là một vòng mà doanh nghiệp lớn cần phải nhảy -

Thật không may, hiện tại, các doanh nghiệp muốn theo dõi dữ liệu của chúng tôi thậm chí không phải lo lắng về những thay đổi kỹ thuật của Do Not Track. "Không ai trong số này có hiệu lực của pháp luật," Hughes nói. "Không có khả năng của các nhà quản lý để thực thi, chúng tôi có thể không có bất kỳ thực thi nào cả. Không theo dõi có thể không có bất kỳ hậu quả."

Bạn có thể thấy nơi này là nhóm. Và Hughes đã xác nhận nhiều: "Một số tổ chức đã đi ra và cho biết họ sẽ bỏ qua Do Not Track."

Cho phép dữ liệu trực tuyến của bạn sẵn sàng

Trừ khi bạn là một nhà triển lãm ảo thực sự muốn hy sinh trực tuyến riêng tư cho vui và lợi nhuận, theo dõi dữ liệu sẽ khiến bạn sợ hãi. Nhưng điều quan trọng cần nhớ là các nguyên tắc hoạt động cơ bản của Internet mở của chúng tôi - một Internet nơi mà nội dung rất tốn kém được cho đi miễn phí - yêu cầu một lượng hy sinh dữ liệu nhất định.

Thật vậy, nếu bạn muốn tất cả các lợi ích phức tạp, sắc thái chia sẻ xã hội, bạn phải thực sự

chia sẻ bản thân bạn. Và bạn có thể đã làm điều này, hy sinh dữ liệu của bạn một cách tự nguyện. Ted Schlein, công ty đầu tư mạo hiểm Kleiner Perkins Caufield Byers, đã đưa ra nghịch lý này khi nói tại một phiên an ninh mạng tại RSA. "Mọi người quan tâm đến sự riêng tư, và sau đó họ không làm thế," anh nói. "Facebook có một cuộc trò chuyện về một chính sách bảo mật mới, mọi người cảm thấy vui mừng về nó, và sau đó Zuckerberg nói điều gì đó, và họ bình tĩnh lại."

Oez / Shutterstock

Anh ấy đúng, tất nhiên. Imbroglios bảo mật định kỳ không làm chậm sự phổ biến của các trang web mạng xã hội, trang web chia sẻ ảnh và các ứng dụng như Foursquare, mặc dù tất cả các dịch vụ này thu thập thông tin về chúng tôi để tăng doanh thu. Pinterest gần đây đã được định giá 2,5 tỷ USD, không phải vì nó kiếm được tiền, nhưng bởi vì người dùng của nó đang hăng hái ghim sản phẩm vào các trang của họ, khiến họ trở nên chín muồi cho các quảng cáo bán lẻ. Dữ liệu của họ là tiền tệ.

Doanh nghiệp lớn đang làm việc theo thời gian để thu thập dữ liệu về chúng tôi và thời gian chúng tôi chi tiêu trực tuyến nhiều, chúng tôi càng có nhiều cơ hội để họ làm như vậy. Vì vậy, cuối cùng, tôi tự hỏi liệu các doanh nghiệp có thu thập dữ liệu của chúng tôi đáng sợ hơn hay chúng tôi sẵn sàng để họ làm điều đó.