Wat kunnen we doen aan dreigende bedreigingen voor onze privacy online en de diefstal van belangrijke persoonlijke informatie? Ari Trachtenberg heeft enkele ideeën.
Het afgelopen jaar begon met de opening van Cambridge Analytica voor het verkrijgen van toegang tot privégegevens op ten minste 87 miljoen Facebook-gebruikers en ingepakt met Marriott die aankondigde dat 500 miljoen van zijn accounts was gehackt.
Quora, MyFitnessPal, Google+, MyHeritage en Lord & Taylor hebben onlangs ook te maken gehad met inbreuken op de cyberbeveiliging, waarbij elk de gevoelige gegevens van miljoenen gebruikers blootlegde.
Hier geeft Trachtenberg, hoogleraar elektrische en computertechnologie aan Boston University, cybersecurity-expert, en lid van de Cyber Alliance van de universiteit, een beeld van de meest wijdverspreide cyberbeveiligingsbedreigingen om de komende maanden te anticiperen - en het beleid, de regelgeving en zakelijke praktijken dat kan helpen het cyberrisico te verminderen en de privacybescherming te verbeteren.
Q
Wat is de meest voorkomende bedreiging voor cybersecurity waar we ons bewust van moeten zijn?
A
Ik geloof dat 'privacy' dit jaar onze zorgen zal domineren. We hebben al gezien hoe schijnbaar onbelangrijke privacy lekken (Facebook-berichten aan vrienden) kunnen worden gebruikt voor politiek voordeel (dwz de 2016-verkiezing), en ik verwacht dat wetgevende instanties een steeds sterkere positie zullen innemen ten aanzien van de gegevensrechten van consumenten. - zoals in Europa al is gebeurd met de Algemene Verordening Gegevensbescherming.
Bedrijven kunnen hierop vooruitlopen door transparante en onafhankelijk verifieerbare beveiligingen voor consumenten voor te stellen. Het wordt echter ook steeds duidelijker dat er maar heel weinig is dat consumenten kunnen doen om hun verlies aan privacy van derden te verminderen (met wie ze heel vaak zelfs geen relatie hebben). Misschien is het meest effectieve verhaal (in democratieën) politiek.
Q
Wat zijn de grootste lacunes in het beleid vanuit een privacyperspectief die moeten worden aangepakt?
A
Met betrekking tot gegevensprivacy denk ik dat de belangrijkste taak die door de overheid kan worden vervuld (niet alleen het Witte Huis, maar ook het Congres en de rechterlijke macht) een duidelijke aansprakelijkheid voor verlies van privacy is.
Tegenwoordig kunnen bedrijven persoonlijke en gevoelige informatie verliezen over miljoenen klanten met weinig meer dan een sociaal stigma (die bedrijven hebben veel ervaring met het bestrijden van hun PR-afdelingen). Onze rechtbanken weten niet hoe ze een bepaald bedrag in dollars moeten steken in het verlies van privacy van een persoon. Als gevolg hiervan is er geen duidelijke en sterke financiële stimulans voor bedrijven om hun privacybescherming aan te scherpen.
Aansprakelijkheid is een uitstekende manier gebleken om dergelijke problemen in het productlandschap aan te pakken. Fabrikanten testen nu bijvoorbeeld hun elektrische apparatuur zorgvuldig en krijgen een Underwriter Laboratories-certificering of riskeren aanzienlijke rechtszaken als mensen gewond raken. Om vergelijkbaar succes in de cyberwereld te zien, hebben we een duidelijk omschreven en afdwingbare definitie van privacyaansprakelijkheid nodig.
Q
Denk je dat er druk zal worden uitgeoefend op meer regelgeving over hoe grote technologiebedrijven, zoals Facebook en Google, consumentengegevens gebruiken en ermee monetariseren?
A
Ik denk dat er een duw zal zijn om grote technologiebedrijven te verbreken of ze veel strenger te reguleren. De grote technologiebedrijven behouden elk de controle over historisch ongekende hoeveelheden gegevens die, met de hulp van moderne computers, sterk geïndividualiseerd zijn.
Aan de ene kant lijken ze de macht te hebben om verkiezingen en sociaal beleid te verslaan, financiële en aandelenmarkten te sturen en trends te lezen op een schaal die nooit eerder mogelijk was. Aan de andere kant stelt hun hernieuwde rijkdom hen in staat grote uitdagingen en technische visie voort te stuwen die niet op kleinere schaal kunnen worden uitgevoerd (dwz autonome voertuigen, doorzoekbare wereldwijde encyclopedieën, wereldwijde inkoopmarkten, enz.).
Mijn voorkeur gaat uit naar het opsplitsen van grotere bedrijven in plaats van deze te reguleren, omdat regelgeving zonder leemtes notoir moeilijk is om goed te schrijven zonder innovatie en transparantie te verstikken.
Q
Gegevensprivacy en gegevensbeveiliging worden lange tijd beschouwd als twee afzonderlijke missies met twee afzonderlijke doelstellingen. Denk je dat dit aan het veranderen is?
A
Met betrekking tot gegevensprivacy versus veiligheid zou ik zeggen dat deze twee technisch (maar niet sociaal) onlosmakelijk zijn. Beveiligingsinbreuken zijn verantwoordelijk voor enorme verliezen aan privacy en inbreuken op privacy kunnen vaak worden gebruikt voor beveiligingsproblemen. Zoals ik eerder al aangaf, is er, in tegenstelling tot het brede cybersecurity-gebied, weinig financiële belangen in de bescherming van de privacy in het industriële (of eerlijk gezegd, gouvernementele) landschap van vandaag.
Q
Consumenten besteden meer aandacht aan het onderhouden en controleren van hun persoonlijke privacy en gegevens van bedrijven. Afgezien van mogelijke beleidsregels, denkt u dan dat er nieuwe technologische oplossingen zullen komen om consumenten te helpen hun gegevens beter onder controle te houden?
A
Het landschap met technologische dreigingen is enorm en we hebben echt geen grip op hoe we het technisch moeten beschermen. Mijn persoonlijke gedachte is dat de taak onmogelijk is - net als het maken van een pick-proof slot of een onzinkbaar schip. In plaats daarvan moeten we onze aandacht richten op gezamenlijke technische en juridische oplossingen.
Q
Wat moeten moderne cyberveiligheidsmedewerkers doen om het groeiende risico op gegevensprivacy te verminderen?
A
Er is altijd meer te doen in het cyberbeveiligingsdomein, maar er zijn enkele elementaire 'best practices' die elke chief information security officer moet kennen en die werknemers moet opleiden om te onderhouden.
Een manier om privacyrisico's te beperken, is simpelweg niet om privé- of gevoelige informatie op te slaan of te verwerken. Bedrijven moeten goed nadenken over elk stukje informatie dat ze van klanten krijgen, waarbij ze het voordeel van het hebben van deze informatie afwegen tegen het risico om het te verliezen. Het probleem is dat bedrijven zich vaak niet realiseren hoe schadelijk het informatieverlies kan zijn.
Bijvoorbeeld, de LinkedIn 2012-schending van (slecht) gehashte wachtwoorden zou later worden gebruikt in afpersingsmails, die de gebarsten wachtwoorden gebruikten om ongelukkige ontvangers ervan te overtuigen dat de afpersers compromitterende informatie hadden.
Q
Waar denk je dat de meeste financiering nodig is in cybersecurityonderzoek? Zijn er gebieden waarvan je vindt dat ze voorrang moeten krijgen?
A
Ik denk dat de VS, heel wanhopig, meer geld nodig hebben voor fundamenteel onderzoek van alle soorten, niet alleen cyberveiligheidsonderzoek. Echte innovatie komt niet vaak van administratieve begeleiding, maar eerder door inspiratie en het achterna zitten van onvoorziene ideeën.
Q
Welke impact zou u specifiek willen bereiken in de cybersecurity / privacy-ruimte?
A
Ik heb het opkomende gebied van nevenkanalen geanalyseerd, waar informatie wordt gelekt (meestal onopzettelijk) van het reguliere gebruik van technische apparaten en software. Mijn doel zou zijn om een aantal brede, overkoepelende eigenschappen van deze kanalen te ontwikkelen, waar ze zich vormen en hoe we ze kunnen beperken. De impact van dergelijk werk zou een veiligere, meer open technische wereld zijn - maar heel weinig mensen zouden het daadwerkelijk realiseren.
Bron: Boston University
Verwante Boeken
at InnerSelf Market en Amazon
