Hvad kan vi gøre ved truende trusler mod vores privatliv online og tyveri af vigtige personlige oplysninger? Ari Trachtenberg har nogle ideer.
Sidste år startede med, at Cambridge Analytica blev afsløret for at have skaffet sig adgang til private data på mindst 87 millioner Facebook-brugere og afsluttede med, at Marriott annoncerede, at 500 millioner af deres konti var blevet hacket.
Quora, MyFitnessPal, Google+, MyHeritage og Lord & Taylor oplevede også for nylig brud på cybersikkerheden - hver afslørede følsomme data fra millioner af brugere.
Her giver Trachtenberg, professor i elektro- og computerteknik ved Boston University, cybersikkerhedsekspert og medlem af universitetets Cyber Alliance, sit bud på de mest udbredte cybersikkerhedstrusler, man kan forudse i de kommende måneder – og politikker, regler og forretningspraksis som kan hjælpe med at mindske cyberrisikoen og øge beskyttelsen af privatlivets fred.
Q
Hvad er den mest udbredte cybersikkerhedstrussel, vi bør være opmærksomme på?
A
Jeg tror, at "privatliv" vil dominere vores bekymringer i år. Vi har allerede set, hvordan tilsyneladende ubetydelige privatlivslækager (dvs. Facebook-opslag til venner) kan udnyttes til politisk fordel (dvs. valget i 2016), og jeg forventer, at lovgivende organer vil tage en stadig stærkere holdning til forbrugernes datarettigheder — som det allerede er sket i Europa med den generelle databeskyttelsesforordning.
Virksomheder kan komme foran dette ved at foreslå gennemsigtige og uafhængigt verificerbare beskyttelser for forbrugerne. Det bliver dog også mere og mere klart, at der er meget lidt, forbrugerne kan gøre for at afbøde deres tab af privatliv fra tredjeparter (som de meget ofte ikke engang har et forhold til). Den måske mest effektive udvej (i demokratier) er politisk.
Q
Hvad er de største politiske huller fra et privatlivsperspektiv, der skal løses?
A
Med hensyn til databeskyttelse mener jeg, at den vigtigste opgave, der kan udføres af regeringen (ikke kun Det Hvide Hus, men også Kongressen og retsvæsenet) er at definere et klart ansvar for tab af privatliv.
I dag kan virksomheder miste personlige og følsomme oplysninger om millioner af kunder med lidt mere end et socialt stigma (som virksomheder har masser af erfaring med at kæmpe gennem deres PR-afdelinger). Vores domstole ved ikke, hvordan man sætter et dollarbeløb på en persons tab af privatliv. Som følge heraf er der ikke noget klart og stærkt økonomisk incitament for virksomheder til at stramme deres privatlivsbeskyttelse.
Ansvar har vist sig at være en fremragende måde at løse sådanne problemer på i produktlandskabet, hvor f.eks. producenter nu omhyggeligt tester deres elektriske udstyr og får Underwriter Laboratories certificering eller risikerer betydelige retssager, hvis folk kommer til skade. For at se lignende succes i cyberverdenen har vi brug for en veldefineret og håndhæver definition af privatlivsansvar.
Q
Tror du, der vil blive et skub for flere regler for, hvordan store teknologivirksomheder, såsom Facebook og Google, bruger og tjener penge på forbrugerdata?
A
Jeg tror, at der vil være et skub for enten at bryde store teknologivirksomheder op eller at regulere dem meget hårdere. De store tech-virksomheder bevarer hver især kontrol over historisk hidtil usete mængder af data, der ved hjælp af moderne computere er yderst individualiserede.
På den ene side ser de ud til at have magten til at svinge valg og socialpolitik, styre finans- og aktiemarkederne og læse trends i et omfang, som aldrig før har været muligt. På den anden side giver deres nyfundne rigdom dem mulighed for at drive store udfordringer og tekniske visioner, som ikke kan gennemføres i mindre skala (dvs. autonome køretøjer, søgbare globale leksika, verdensomspændende indkøbsmarkeder osv.).
Min præference ville være at bryde de større virksomheder op i stedet for at regulere dem, da smuthulsfrie regler notorisk er svære at skrive ordentligt uden at kvæle innovation og gennemsigtighed.
Q
Databeskyttelse og datasikkerhed har længe været betragtet som to separate missioner med to separate mål. Tror du, at dette ændrer sig?
A
Med hensyn til databeskyttelse versus sikkerhed, vil jeg sige, at de to er teknisk (men ikke socialt) uadskillelige. Sikkerhedsbrud er ansvarlige for enorme tab af privatliv, og brud på privatlivets fred kan ofte udnyttes til sikkerhedssårbarheder. Men som jeg nævnte tidligere, i modsætning til det brede cybersikkerhedsområde, er der meget ringe økonomisk interesse i at beskytte privatlivets fred i nutidens industrielle (eller ærligt talt statslige) landskab.
Q
Forbrugere er mere opmærksomme på at opretholde og kontrollere deres personlige privatliv og data fra virksomheder. Bortset fra potentielle politiske bestemmelser, tror du, at der vil dukke nye teknologiske løsninger op for at hjælpe forbrugerne med at bevare bedre kontrol over deres data?
A
Det teknologiske trusselslandskab er enormt, og vi har virkelig ikke styr på, hvordan vi teknisk beskytter det. Min personlige tanke er, at opgaven er umulig - ligesom at lave en hakkesikker lås eller et usænkeligt skib. I stedet skal vi fokusere vores opmærksomhed på fælles tekniske og juridiske løsninger.
Q
Hvad bør moderne cybersikkerhedsofficerer gøre for at mindske den voksende risiko for databeskyttelse?
A
Der er altid mere at gøre inden for cybersikkerhedsdomænet, men der er nogle grundlæggende "best practices", som enhver informationssikkerhedschef bør kende og træne medarbejderne til at vedligeholde.
En måde at mindske privatlivsrisikoen på er ganske enkelt ikke at opbevare eller behandle private eller følsomme oplysninger. Virksomheder bør tænke meget omhyggeligt over hver en smule information, de får fra kunder, og afveje fordelen ved at have disse oplysninger mod risikoen for at miste dem. Problemet er, at virksomheder meget ofte ikke er klar over, hvor skadeligt informationstabet kan være.
For eksempel ville LinkedIn 2012-bruddet på (dårligt) hash-kodeord senere blive brugt i afpresnings-e-mails, som brugte de knækkede adgangskoder til at overbevise uheldige modtagere om, at afpresserne havde kompromitterende oplysninger.
Q
Hvor tror du, der er behov for størst finansiering i cybersikkerhedsforskning? Er der områder, som du mener bør prioriteres?
A
Jeg tror, at USA, ganske desperat, har brug for flere midler til grundforskning af alle typer, ikke kun cybersikkerhedsforskning. Ægte innovation kommer ikke ofte fra administrativ vejledning, men snarere gennem inspiration og forfølgelse af uforudsete ideer.
Q
Hvilken effekt vil du specifikt gerne opnå i cybersikkerhed/privatlivsområdet?
A
Jeg har analyseret det nye felt af sidekanaler, hvor information lækkes (typisk utilsigtet) fra den regelmæssige brug af tekniske enheder og software. Mit mål ville være at udvikle nogle brede, overordnede egenskaber ved disse kanaler, hvor de dannes, og hvordan vi kan afbøde dem. Virkningen af et sådant arbejde ville være en sikrere, mere åben teknisk verden - men meget få mennesker ville faktisk indse det.
Kilde: Boston University
Relaterede bøger
at InnerSelf Market og Amazon
