Все американцы должны быть встревожены тем, что китайское правительство якобы стояло за взломом кредитного бюро Equifax в 2017 году, в результате чего конфиденциальная личная информация о 145 миллионы потребителей были украдены.
Но это еще хуже.
Equifax фактически оставил все наши данные на газоне, чтобы кто-нибудь мог уйти — в результате не удалось зашифровать базы данных, которые хранят некоторые из самых чувствительных деталей нашей жизни.
И Эквифакс отнюдь не одинок в такой небрежности. Большинство крупных американских компаний также не шифруют данные, полученные от клиентов.
«Страшно, как много наших данных там хранится в открытом виде, — сказал Эд Межвински, старший директор федеральной программы по защите прав потребителей Американской исследовательской группы по общественным интересам.
« Шифрование — это минимальная текущая практика, при условии, что она сопровождается хорошей практикой безопасности », — сказал он мне. «Вы также должны привлечь к ответственности компании в кармане. Это стимул, который привлекает их внимание ».
Атти. Генерал Уильям Барр заявил в понедельник, что за взломом «Эквифакса» стояли четыре члена китайских военных, которые получили доступ к именам, датам рождения и номерам социального страхования миллионов американцев.
«Это было преднамеренное и резкое вторжение в личная информация американского народа », — сказал он в заявлении.
«К сожалению, — добавил Барр, — взлом Equifax соответствует тревожной и неприемлемой схеме спонсируемых государством компьютерных вторжений и краж со стороны Китая и его граждан, которые нацелены на личную информацию, торговые секреты и другую конфиденциальную информацию».
Хакеры, очевидно, использовали программную дыру в серверах Equifax. Компания не смогла исправить уязвимость в коде, хотя в течение нескольких месяцев она знала, что ее данные находятся под угрозой.
Марк Ротенберг, президент Информационного центра электронной конфиденциальности, сказал, что эта ошибка со стороны кредитного агентства была основной причина массивной кражи данных.
«При взломе Equifax были значительные проблемы с безопасностью, но речь шла скорее о невозможности своевременной установки обновлений безопасности и мониторинга вторжений, чем о шифровании данных», — сказал он.
Конечно, нарушения, вероятно, не произошло бы, если бы Equifax продолжал охранять. Но тот факт, что его коронные драгоценности — наши данные — были полностью схвачены после того, как хакеры прорвались, не менее безрассуден.
Согласно обвинительному заключению Министерства юстиции, китайские хакеры (все, как сообщается, члены Народного освобождения) Армия) обнаружил непатентованный код и начал систематическую «разведку» системы Equifax.
«Обвиняемые потратили несколько недель, выполняя запросы для идентификации структуры базы данных Equifax и поиска конфиденциальной, идентифицирующей личность информации в системе Equifax», Министерство юстиции сообщило:
«В общей сложности злоумышленники выполнили приблизительно 9 000 запросов по системе Equifax, получив имена, даты рождения и номера социального страхования для почти половины всех американских граждан».
Примечательно, что департамент сказал, что хакеры маскировали свои вторжения «с помощью зашифрованных сообщений».
Так что плохие парни использовали шифрование, чтобы скрыть свои следы. Но Equifax не стеснялся оставлять всю эту информацию в незашифрованном виде, легко доступной для любого злоумышленника.
Шифрование — это, по сути, способ превращения данных в бред, если у вас нет специального ключа для его чтения. Это наиболее эффективный способ обеспечения безопасности информации.
Тем не менее, лишь немногие крупные американские компании шифруют данные, потому что это увеличивает их технологические издержки и замедляет работу, вводя дополнительный шаг перед доступом к данным.
Один опрос, проведенный в прошлом году, показал, что менее 30% предприятий шифруют информацию.
Согласно Центру конфиденциальности в Сан-Диего, хакеры получили доступ к более чем 10 миллиардам записей с примерно 9 000 нарушений безопасности с тех пор 2005.
Насколько известно, немногие из этих записей были зашифрованы.
Как только хакеры получили свои грязные перчатки на нашу информацию, они были в порядке. Ничто не могло помешать им продавать данные другим или самим использовать их для мошенничества.
«Невозможно обеспечить 100% безопасность данных», — сказал Скотт Шеклфорд, доцент кафедры права и этики в Университете Индианы.
«Злоумышленник с достаточным количеством времени, ресурсов и изощренности может взломать даже самые защищенные системы », — сказал он. «Но шифрование данных делает этот процесс более сложным».
Шекелфорд отметил, что растущее использование облачных сервисов хранения данных, таких как Google и Amazon, делает шифрование более доступным для небольших компаний.
Но это предполагает, что Google и Amazon сами шифруют. На данный момент кажется, что это не так, как правило, потому что клиенты этого не хотят.
Летом прошлого года Capital One обнаружил, что информация о более чем 100 миллионах клиентов была украдена после того, как хакер проник на облачный сервер. под управлением Amazon.
Опять же, речь идет о снижении затрат и обеспечении бесперебойной работы баз данных. Клиенты облачных сервисов не хотят прыгать через обручи, чтобы получить свои данные.
Как теперь должно быть очевидно для всех, это жалкое оправдание.
Все знают, что конфиденциальность становится все более дефицитным товаром, и информация о людях распространяется повсюду — часто без нашего ведома или явного одобрения.
Но нам не нужно, чтобы хакерам было легко нас обмануть.
Если компании сами не сделают правильные вещи, пришло время нашим законодателям активизировать свои усилия и заставить их быть ответственными хранителями информации людей.
Я оставлю это экспертам для уточнения. подробности, но суть в том, что любая компания определенного размера, то есть крупные компании с наибольшим объемом данных, должна шифровать все записи клиентов, независимо от неудобств, которые это может представлять для операций.
И чтобы довести до дома важность мер безопасности, есть должны быть установлены штрафы ($ 100 за жертву, скажем) за любое нарушение. Это привлекло бы внимание совета директоров.
Мы не были бы первой страной, сделавшей этот шаг. В прошлом месяце одна из крупнейших стран мира приняла закон, поощряющий шифрование в качестве инструмента защиты данных и требующий шифрования всей правительственной информации.
Какая страна была этой?
Китай.
