O que podemos fazer em relação às ameaças à nossa privacidade online e ao roubo de informações pessoais importantes? Ari Trachtenberg tem algumas ideias.

No ano passado, o Cambridge Analytica foi expulso por adquirir acesso a dados privados em pelo menos 87 milhões de usuários do Facebook e se envolveu com a Marriott anunciando que 500 milhões de contas haviam sido invadidas.

Quora, MyFitnessPal, Google+, MyHeritage e Lord & Taylor também sofreram recentemente violações de segurança cibernética - cada uma expondo os dados confidenciais de milhões de usuários.

Aqui, Trachtenberg, professor de engenharia elétrica e de computação da Universidade de Boston, especialista em segurança cibernética e membro da Cyber ​​Alliance da universidade, dá sua opinião sobre as ameaças de segurança cibernética mais difundidas nos próximos meses - e as políticas, regulamentações e práticas comerciais que podem ajudar a mitigar o risco cibernético e aumentar a proteção da privacidade.

Q

Qual é a ameaça de segurança cibernética mais difundida da qual devemos estar cientes?

A

Acredito que a “privacidade” dominará nossas preocupações este ano. Já vimos como vazamentos de privacidade aparentemente inconseqüentes (ou seja, mensagens do Facebook para amigos) podem ser aproveitados para obter vantagem política (ou seja, a eleição 2016), e espero que os órgãos legislativos estejam assumindo uma posição cada vez mais forte nos direitos de dados dos consumidores - como já aconteceu na Europa com o Regulamento Geral de Proteção de Dados.

As empresas podem se antecipar a isso sugerindo proteções transparentes e verificáveis ​​independentemente para os consumidores. No entanto, também está ficando cada vez mais claro que há muito pouco que os consumidores possam fazer para mitigar sua perda de privacidade de terceiros (com quem, muitas vezes, nem sequer têm um relacionamento). Talvez o recurso mais eficaz (nas democracias) seja político.

Q

Quais são as maiores lacunas de política de uma perspectiva de privacidade que precisam ser abordadas?

A

Com relação à privacidade dos dados, acho que a tarefa mais importante que pode ser realizada pelo governo (não apenas a Casa Branca, mas também o Congresso e o judiciário) é definir uma responsabilidade clara pela perda de privacidade.

Hoje, as empresas podem perder informações pessoais e confidenciais de milhões de clientes com pouco mais do que um estigma social (que as empresas têm muita experiência em seus departamentos de relações públicas). Nossos tribunais não sabem como colocar um valor em dólar na perda de privacidade de uma pessoa. Como resultado, não há incentivo financeiro claro e forte para que as empresas reforcem suas proteções à privacidade.

A responsabilidade provou ser uma excelente maneira de abordar tais problemas no cenário de produtos, onde, por exemplo, os fabricantes agora testam cuidadosamente seus equipamentos elétricos e obtêm a certificação Underwriter Laboratories ou arriscam processos significativos se as pessoas se machucarem. Para ver um sucesso semelhante no mundo cibernético, precisamos de uma definição bem definida e exeqüível de responsabilidade por privacidade.

Q

Você acha que haverá uma pressão por mais regulamentações sobre como grandes empresas de tecnologia, como Facebook e Google, usam e monetizam dados de consumidores?

A

Eu acho que haverá um empurrão para separar grandes empresas de tecnologia ou regulá-las muito mais pesadamente. Todas as grandes empresas de tecnologia mantêm controle sobre quantidades historicamente sem precedentes de dados que, com a ajuda da computação moderna, são altamente individualizados.

Por um lado, eles parecem ter o poder de promover eleições e políticas sociais, orientar mercados financeiros e de ações e ler tendências em uma escala nunca antes possível. Por outro lado, sua nova riqueza permite que eles impulsionem grandes desafios e visão técnica que não podem ser decretados em menor escala (ou seja, veículos autônomos, enciclopédias globais pesquisáveis, mercados de compra em todo o mundo, etc.).

Minha preferência seria dividir as empresas maiores em vez de regulá-las, já que as regulamentações livres de brechas são notoriamente difíceis de serem escritas adequadamente, sem sufocar a inovação e a transparência.

Q

A privacidade de dados e a segurança de dados têm sido consideradas duas missões separadas com dois objetivos separados. Você acha que isso está mudando?

A

Com relação à privacidade de dados versus segurança, eu diria que os dois são tecnicamente (mas não socialmente) inextricáveis. Violações de segurança são responsáveis ​​por enormes perdas de privacidade, e violações de privacidade podem ser aproveitadas para vulnerabilidades de segurança. No entanto, como mencionei anteriormente, ao contrário da ampla área de cibersegurança, há muito pouco interesse financeiro em proteger a privacidade na paisagem industrial atual (ou, francamente, governamental).

Q

Os consumidores estão prestando mais atenção à manutenção e ao controle de sua privacidade e dados pessoais de corporações. Além de regulamentações políticas em potencial, você acredita que novas soluções tecnológicas surgirão para ajudar os consumidores a manter um melhor controle de seus dados?

A

O cenário de ameaças tecnológicas é enorme e nós realmente não temos controle sobre como tecnicamente protegê-lo. Meu pensamento pessoal é que a tarefa é impossível - bem como fazer um bloqueio à prova de pick-up ou um navio que não possa afundar. Em vez disso, precisamos concentrar nossa atenção em soluções técnicas e jurídicas conjuntas.

Q

O que os atuais responsáveis ​​pela segurança cibernética devem fazer para mitigar o crescente risco de privacidade de dados?

A

Há sempre mais a ser feito no domínio da segurança cibernética, mas há algumas “melhores práticas” básicas que todo diretor de segurança de informações deve conhecer e treinar funcionários para manter.

Uma maneira de reduzir o risco de privacidade é, simplesmente, não armazenar ou processar informações privadas ou confidenciais. As empresas devem pensar com muito cuidado sobre cada informação que recebem dos clientes, ponderando o benefício de ter essas informações contra o risco de perdê-las. O problema é que, muitas vezes, as empresas não percebem o quão prejudicial a perda de informação pode ser.

Por exemplo, a violação do LinkedIn 2012 de senhas hash (pobremente) seria mais tarde usada em e-mails de extorsão, que usavam as senhas quebradas para convencer os infelizes destinatários de que os extorsionistas tinham informações comprometedoras.

Q

Onde você acha que o maior financiamento é necessário na pesquisa de segurança cibernética? Existem áreas que você acha que devem ser priorizadas?

A

Eu acho que os EUA precisam, muito desesperadamente, de mais financiamento para pesquisa básica de todos os tipos, não apenas pesquisa em segurança cibernética. A verdadeira inovação não vem muitas vezes da orientação administrativa, mas sim através da inspiração e da busca de ideias imprevistas.

Q

Que impacto você gostaria especificamente de alcançar no espaço da segurança cibernética / privacidade?

A

Eu tenho analisado o campo emergente de canais laterais, onde a informação é vazada (tipicamente não intencionalmente) do uso regular de dispositivos técnicos e software. Meu objetivo seria desenvolver algumas propriedades abrangentes e abrangentes desses canais, onde eles se formam e como podemos mitigá-los. O impacto desse trabalho seria um mundo técnico mais seguro e aberto - mas muito poucas pessoas realmente perceberiam isso.

Fonte: Boston University

Livros relacionados

at InnerSelf Market e Amazon