Apa yang boleh kita lakukan mengenai ancaman terhadap privasi kita dalam talian dan pencurian maklumat peribadi yang penting? Ari Trachtenberg mempunyai beberapa idea.

Tahun lepas bermula dengan Cambridge Analytica yang terdedah untuk memperoleh akses kepada data peribadi sekurang-kurangnya 87 juta pengguna Facebook dan dibungkus dengan Marriott mengumumkan bahawa 500 juta akaunnya telah digodam.

Quora, MyFitnessPal, Google+, MyHeritage, dan Lord & Taylor juga baru-baru ini mengalami pelanggaran keselamatan siber — masing-masing mendedahkan data sensitif berjuta-juta pengguna.

Di sini, Trachtenberg, seorang profesor kejuruteraan elektrik dan komputer di Boston University, pakar cybersecurity, dan anggota Perikatan Cyber ​​universiti, menganggap ancaman keselamatan cybersecurity yang paling meluas untuk menjangkakan dalam beberapa bulan akan datang - dan dasar, peraturan, dan amalan perniagaan yang boleh membantu mengurangkan risiko siber dan meningkatkan perlindungan privasi.

Q

Apakah ancaman keselamatan cybersecurity yang paling luas yang perlu kita ketahui?

A

Saya percaya bahawa "privasi" akan menguasai kebimbangan kami tahun ini. Kami telah melihat bagaimana kebocoran privasi yang tidak masuk akal (iaitu, kiriman Facebook kepada rakan-rakan) boleh dimanfaatkan untuk kelebihan politik (iaitu pilihan raya 2016), dan saya menjangkakan bahawa badan-badan perundangan akan mengambil kedudukan yang semakin kukuh pada hak-hak pengguna pengguna - sudah terjadi di Eropa dengan Peraturan Perlindungan Data Umum.

Perniagaan boleh mendahului ini dengan mencadangkan perlindungan telus dan bebas yang dapat disahkan untuk pengguna. Walau bagaimanapun, ia juga menjadi semakin jelas bahawa terdapat sangat sedikit yang boleh dilakukan oleh pengguna untuk mengurangkan kehilangan privasi mereka dari pihak ketiga (yang dengan kerap, mereka tidak mempunyai hubungan). Mungkin cara paling berkesan (dalam demokrasi) adalah politik.

Q

Apakah jurang dasar yang paling besar dari perspektif privasi yang perlu ditangani?

A

Berkenaan dengan privasi data, saya fikir tugas paling penting yang boleh dicapai oleh kerajaan (bukan hanya Gedung Putih, tetapi juga Kongres dan badan kehakiman) adalah untuk menentukan liabiliti yang jelas kerana kehilangan privasi.

Hari ini, syarikat-syarikat boleh kehilangan maklumat peribadi dan sensitif pada berjuta-juta pelanggan dengan sedikit lebih daripada stigma sosial (syarikat mana yang mempunyai banyak pengalaman yang berjuang melalui jabatan-jabatan perhubungan awam mereka). Mahkamah kita tidak tahu bagaimana untuk meletakkan jumlah dolar pada kehilangan privasi seseorang. Akibatnya, tidak ada insentif kewangan yang jelas dan kukuh bagi syarikat untuk mengetatkan perlindungan privasi mereka.

Liabiliti telah membuktikan cara terbaik untuk menangani isu-isu seperti landskap produk, di mana, misalnya, pengeluar kini dengan teliti menguji peralatan elektrik mereka dan mendapatkan pensijilan Jurujual Penaja atau membahayakan tindakan undang-undang yang penting jika orang cedera. Untuk melihat kejayaan yang sama di dunia siber, kami memerlukan definisi liabiliti privasi yang jelas dan dikuatkuasakan.

Q

Adakah anda fikir akan ada dorongan untuk lebih banyak peraturan mengenai bagaimana syarikat teknologi besar, seperti Facebook dan Google, menggunakan dan mengewangkan data pengguna?

A

Saya fikir akan ada usaha sama ada memecahkan syarikat teknologi besar atau mengawalnya dengan lebih banyak. Syarikat-syarikat berteknologi tinggi masing-masing mengekalkan kawalan ke atas jumlah data yang tidak pernah berlaku sebelumnya yang, dengan bantuan pengkomputeran moden, sangat individual.

Di satu pihak, mereka kelihatan mempunyai kuasa untuk melancarkan pemilihan dan dasar sosial, memacu pasaran kewangan dan saham, dan membaca tren pada skala yang tidak pernah mungkin. Sebaliknya, kekayaan mereka yang baru dijumpai membolehkan mereka mencadangkan cabaran besar dan penglihatan teknikal yang tidak dapat digubal pada skala yang lebih kecil (iaitu, kenderaan autonomi, ensiklopedia global yang boleh dicari, pasaran belian di seluruh dunia, dan sebagainya).

Keutamaan saya adalah untuk memecahkan syarikat-syarikat besar dan bukannya mengawalnya, kerana peraturan-peraturan yang bebas dari pelemahan adalah sangat sukar untuk ditulis dengan betul tanpa menyekat inovasi dan ketelusan.

Q

Privasi data dan keselamatan data telah lama dianggap dua misi berasingan dengan dua objektif berasingan. Adakah anda fikir ini berubah?

A

Berkenaan dengan privasi data berbanding keselamatan, saya akan mengatakan bahawa kedua-duanya secara teknikal (tetapi tidak sosial) tidak dapat dilepaskan. Pelanggaran keamanan bertanggung jawab atas kehilangan privasi yang besar, dan pelanggaran privasi sering dapat dimanfaatkan untuk kelemahan keamanan. Walau bagaimanapun, seperti yang saya nyatakan sebelum ini, tidak seperti kawasan keselamatan siber yang luas, terdapat sedikit kepentingan kewangan dalam melindungi privasi dalam landskap perindustrian (atau, terus terang, kerajaan) hari ini.

Q

Pengguna lebih memperhatikan dan mengekalkan privasi dan data peribadi mereka dari syarikat. Selain peraturan dasar yang berpotensi, adakah anda berpendapat penyelesaian teknologi baru akan muncul untuk membantu pengguna mengekalkan kawalan yang lebih baik terhadap data mereka?

A

Landskap ancaman teknologi sangat besar, dan kita tidak mempunyai masalah bagaimana untuk melindungi secara teknikalnya. Pemikiran peribadi saya adalah bahawa tugas itu mustahil-sama seperti membuat kunci pick-proof atau kapal yang tidak dapat dipulihkan. Sebaliknya, kita perlu memberi tumpuan kepada penyelesaian teknikal dan undang-undang bersama.

Q

Apa yang perlu dilakukan pegawai cybersecurity moden untuk mengurangkan risiko privasi data yang semakin meningkat?

A

Selalunya lebih banyak yang perlu dilakukan dalam domain keselamatan siber, tetapi terdapat beberapa "amalan terbaik" asas bahawa setiap ketua pegawai keselamatan maklumat perlu tahu dan melatih pekerja untuk mengekalkannya.

Salah satu cara untuk mengurangkan risiko privasi adalah, secara ringkasnya, tidak menyimpan atau memproses maklumat peribadi atau sensitif. Syarikat harus berfikir dengan sangat hati-hati mengenai setiap maklumat yang diperoleh dari pelanggan, dengan mempertimbangkan manfaat maklumat ini terhadap risiko kehilangannya. Masalahnya adalah sangat sering, syarikat tidak menyedari betapa merosakkan kehilangan maklumat.

Sebagai contoh, pelanggaran LinkedIn 2012 (buruk) kata laluan kemudiannya akan digunakan dalam e-mel pemerasan, yang menggunakan kata laluan retak untuk meyakinkan penerima yang malang bahawa pengkhianat telah menjejaskan maklumat.

Q

Di mana anda fikir pembiayaan yang paling diperlukan dalam penyelidikan keselamatan siber? Adakah terdapat kawasan yang anda rasa harus diprioritaskan?

A

Saya berfikir bahawa keperluan AS, agak sangat, lebih banyak pembiayaan untuk penyelidikan asas semua jenis, bukan hanya penyelidikan keselamatan siber. Inovasi sejati sering tidak datang dari bimbingan pentadbiran, melainkan melalui inspirasi dan mengejar idea-idea yang tidak diduga.

Q

Apakah kesan yang anda ingin jangkau dalam ruang keselamatan siber / privasi?

A

Saya telah menganalisis bidang yang muncul dalam saluran sampingan, di mana maklumat dibocorkan (biasanya tidak sengaja) dari penggunaan alat dan perisian teknikal secara tetap. Matlamat saya adalah untuk membangunkan sebahagian besar, sifat-sifat menyeluruh saluran-saluran ini, di mana mereka membentuk, dan bagaimana kita dapat mengurangkannya. Kesan kerja itu akan menjadi dunia teknikal yang lebih selamat dan lebih terbuka-tetapi sangat sedikit orang yang menyedarinya.

sumber: Boston University

Buku-buku yang berkaitan

at InnerSelf Market dan Amazon