数旗智酷数字政府实验室丨作者

一年内会发生很多事情。2018年,比特币泡沫再次破灭,中美之间的紧张局势演变成贸易战,科技巨头巩固了他们作为世界上最有价值公司的地位(目前市场排名前四的是微软、苹果、亚马逊和Alphabet)。

在这一切的背后,在某种程度上,是我们的私人数据。

今年,人们开始意识到,他们的数据在工业规模上被黑客、剥削和操纵,无论是罪犯还是推动现代经济的科技公司。当然,政府也会这么做。就在本周,有消息称,与(此处省略7个字)有联系的黑客闯入了惠普企业和IBM的网络,并利用这种访问渗透到客户的系统中。

问题是:黑客攻击是不可避免的,所以你应该做好准备,如果你的数据被窃取的话。尽管有人说这种宿命论的叙述有些过火,但到目前为止,盗窃的流行并没有任何停止的迹象。

今年披露了历史上最大的两个漏洞:共有6.5亿账户在万豪酒店业务和UnderArmor服装公司遭到攻击。今年还剩几天,2018年公布的黑客攻击仍有可能超过去年“泄露”的23亿份证书。

有什么新鲜事吗?

这并不是说我们的数字隐私以前没有被侵犯过,但我们开始意识到这有多么糟糕。“2018年是人们意识到我们不能再依靠公司来保护我们的数据的一年,”在线调查公司“记录未来”的工作人员安德烈·巴利舍维奇说。

你的个人数据就在外面,某个地方,在黑暗的网络上出售。Armor Research的数据显示,一个美国人的个人数据,从信用记录、犯罪记录到银行账号,只要40美元到200美元,就可以在互联网的非索引部分购买。花100美元,你可以从一家美国航空公司购买50000英里的失窃航线;花200美元左右,你可以购买一张余额为4000美元的克隆ATM卡。

要支付它,你需要数字代币。据巴丽舍维奇称,加密泡沫可能已经破灭,但它在黑暗的网络中依然活跃。比特币是这些交易中最流行的交换方式,但黑客们接受几十种不同的加密货币来交换被盗的信息,他说。这些数字集市中的一些可以被任何能够找到它们的人访问,而另一些则需要邀请。

Area1Security的首席执行官OrenFalkowitz说,我们不会注定要遭受永久性的黑客攻击和数据被盗。(此处删除约50字)

法尔科维茨说,10个网络黑客中有9个是源于网络钓鱼骗局的虚假电子邮件,欺骗用户点击危险链接或泄露敏感信息。他说,网络钓鱼没有什么特别前沿的东西,而且如此多的黑客依赖于它,这表明数字防御系统的改进有很大的空间。前国家安全局(National Security Agency)分析师福尔科维茨(Falkowitz)说,“网络末日的说法”是错误的。

一个问题是,对于公司来说,网络安全被认为是成本中心,而不是利润中心。Falkowitz乐观地将在线安全比作汽车安全标准,经过多年的改进和失误,汽车安全标准得到了提高。

美国联邦调查局(FBI)纽约网络犯罪现场办公室(New York CyberCrime Field Office)前顾问巴丽舍维奇(Barysevich)说,已经有技术可以使个人数据更安全。他说,加密是可行的,但并不是每家公司都知道如何正确地管理它。许多企业甚至无法备份他们的数据,这使得他们容易受到勒索软件盗窃的影响。他指出,苹果支付(ApplePay)和谷歌支付(Google Pay)钱包使用一次性代币进行无法重复使用的交易,即使它们被截获和被盗。更多的数据可以匿名、分区和加密。

Shape Security首席技术官Shuman Ghosemajumder表示:“从长远来看,我们不希望公司拥有大量可用于未来欺诈的信用卡信息存储。”曾在谷歌担任“点击欺诈沙皇”的Ghosemajumder说:“也许可以标记或匿名其他类型的信息,以同样保护其他类别的个人信息。”

纯真的终点

被盗的个人数据已经够糟糕的了。像facebook和其他网站这样的网站存储的信息要精细得多。直到最近,我们大多数人才关心这些公司在做什么。

剑桥分析丑闻可能被证明是一个转折点。综上所述,在2016年总统大选之前,剑桥分析公司利用Facebook的数据建立了美国个人的心理档案。据报道,这些数据被用来向数百万选民传递超党派信息。这足以让Facebook首席执行官马克•扎克伯格(MarkZuckerberg)被拉到国会面前,避免任何真正的损害。

加利福尼亚州一家法院发现,社交媒体帖子不是第一修正案的权利。

然后,就在2018年之前,《纽约时报》(Paywall)报道说,拥有22亿用户的Facebook还为微软、Spotify和亚马逊等主要科技公司提供了访问个人数据的机会,否则这些数据可能会违反其政策。

在某些情况下,这些公司可能还没有意识到他们可以获得额外的Facebook数据。但这一爆炸性事件暗示,Facebook和其他大型科技公司无法信任其商业模式所依赖的个人数据。

欧盟会来救援吗?布鲁塞尔是GDPR的诞生地,这可能是世界上最严格的数据隐私法规。这项扫除性法律于5月实施,要求企业获得欧盟成员国的明确许可,才能使用其信息。它赋予了监管机构对失败行为征收罚款的权力,并制定了披露未经授权数据泄露的规则。

现在判断它是否有效还为时过早。根据cliqz在10月汇编的数据,在GDPR生效后,欧盟的一种在线广告追踪业务有所下降,而在美国,这一业务仍在继续攀升。Facebook已经失去了欧盟的市场份额,同样也失去了较小的广告技术供应商。然而,谷歌可能已经领先了。一种可能是谷歌能够利用其雄厚的财力和规模更好地适应监管。

卡内基梅隆大学的信息系统教授拉胡尔泰朗认为,全球发展政策的影响将是中等的。和大多数监管一样,这也会带来一些好处,但这些好处可能会被意想不到的后果所抵消。特朗说:“有时候,法规可以更有效地巩固垄断。Facebook和谷歌几乎没有竞争,他们有滥用我们数据的动机。”

GDPR的黑客条款要求公司在个人信息被泄露时迅速警告用户,并对数据泄露处以罚款,这可能会促使一些机构清理他们的行为。例如,如果有可能被窃取的风险,为什么还要继续存储不必要的个人信息,从而引发坏消息和经济处罚?删除无关数据是避免令人尴尬的黑客攻击的一种方法。

巴丽舍维奇对快速披露的规则持谨慎态度。他认为,在评估和解决盗窃行为之前,迅速报告违规行为会使公司容易受到“高度动机犯罪分子”的攻击。在财务处罚方面,公司有风险通过会计解决方案来处理。他们可以设立一个雨天基金以防被罚款,而不是首先加强安保以避免违规。

即使GDPR并不完美,它也有助于提高人们对在线隐私不再存在的认识。也许2019年将是可以做一些事情的一年。

原文链接:

https://www.nextgov.com/cybersecurity/2018/12/year-we-realized-all-our-data-was-stolen/153768/