Ką „Marriott“ pažeidimas sako apie saugumą – Krebsas apie saugumą

Mes dar nežinome pagrindinės (-ių) priežasties (-ių) „Marriott“ šią savaitę paskelbti ketverius metus trukusį pažeidimą, susijusį su 500 milijonų jos svečių asmenine ir finansine informacija Starwood viešbučio savybės. Bet kai tik matome, kad toks milžiniškas įsilaužimas taip ilgai nepastebimas, pagrindinė priežastis dažniausiai yra nesugebėjimas patvirtinti svarbiausio kibernetinio saugumo gynybos principo, kuris galioja tiek korporacijoms, tiek vartotojams: Tarkime, kad esate pakenktas.

ĮMONĖMS

Bendrovėms šis principas reiškia sutikti su nuostata, kad blogų vaikinų nebeįmanoma visiškai pašalinti iš savo tinklų. Tai nereiškia, kad reikia atsisakyti visų tradicinės gynybos principų, pavyzdžiui, greitai pritaikyti programinės įrangos pataisas ir naudoti technologijas, siekiant užkirsti kelią ar bent jau aptikti kenkėjiškų programų infekcijas.

Tai reiškia sutikti, kad nepaisant to, kiek išteklių išleidžiate bandydami apsaugoti nuo kenkėjiškų programų ir piktadarių, visa tai galima žaibiškai anuliuoti, kai vartotojai spusteli kenkėjiškas nuorodas arba patenka į sukčiavimo išpuolius. Arba anksčiau nežinomas saugumo trūkumas išnaudojamas prieš jį užtaisant. Arba bet kuris iš daugybės kitų būdų, kaip užpuolikai gali laimėti, būdami teisūs vieną kartą, kai gynėjai turi būti teisūs 100 procentų laiko.

Kompanijos, kuriai vadovauja pažangios saugumo brandos lyderiai ir korporacijų valdybos nariai, investuoja į būdus, kaip pritraukti ir išlaikyti daugiau kibernetinio saugumo talentų, ir išdėstyti tuos gynėjus laikysenoje, kurioje laikomasi blogų vaikinų. valios patekti.

Tai apima ne tik susitelkimą į pažeidimų prevenciją, bet ir bent jau į įsibrovimo aptikimą ir reagavimą. Tai prasideda nuo prielaidos, kad nesugebėjimas greitai reaguoti, kai priešininkas gauna pradinę atramą, yra tarsi leisti mažytei vėžinei ląstelei metastazuoti į daug didesnę ligą, kuri – nepastebėta dienų, mėnesių ar metų – gali brangiai kainuoti visam organizmui.

Kompanijos, turinčios pačius gudriausius vadovus, moka grėsmių medžiotojams, kad jie ieškotų naujų įsibrovimų požymių. Jie pertvarko organizacinę schemą, kad už saugumą atsakingi žmonės praneštų valdybai, generaliniam direktoriui ir (arba) vyriausiajam rizikos pareigūnui – bet kam, išskyrus vyriausiąjį technologijų vadovą.

Jie nuolat tikrina savo tinklus ir darbuotojus dėl silpnybių ir reguliariai tiria pasirengimą reaguoti į pažeidimus (panašiai kaip ir priešgaisriniai pratimai). Dėl „Marriott“ pažeidimo jie randa kūrybingų būdų sumažinti neskelbtinų duomenų, kuriuos reikia saugoti ir saugoti, kiekį.

INDIVIDUALAMS

Asmenims taip pat verta priimti dvi nelemtas ir atšiaurias tikroves:

1 tikrovė: Blogi vaikinai jau turi prieigą prie asmens duomenų taškų, kurie, jūsų manymu, turėtų būti slapti, tačiau vis dėlto nėra, įskaitant jūsų kreditinės kortelės informaciją, socialinio draudimo numerį, motinos mergautinę pavardę, gimimo datą, adresą, ankstesnius adresus, telefono numerį ir taip – net jūsų kredito byla.

2 tikrovė: Bet koks duomenų taškas, kurį bendrinate su įmone, greičiausiai bus nulaužtas, pamestas, nutekintas, pavogtas ar parduotas – dažniausiai dėl jūsų kaltės. Ir jei jūs esate amerikietis, tai reiškia (bent jau kol kas), kad jūsų reikalas ką nors padaryti, kai taip atsitinka, yra ribotas arba visai nėra.

„Marriott“ siūlo nukentėjusiems vartotojams metus kainuojančias paslaugas iš saugos firmai priklausančios bendrovės Kroll reklamuojantis galimybę ištirti elektroninių nusikaltimų pogrindines rinkas jūsų duomenims. Ar turėtumėte pasinaudoti jais dėl šio pasiūlymo? Tai tikriausiai negali pakenkti tol, kol nesitikite, kad išvengsite kažkokio blogo rezultato. Bet kai priimsite aukščiau nurodytas tikroves Nr. 1 ir Nr. 2, paaiškės, kad nieko tokio negalėtų pasakyti apie tai, ko dar nežinote.

Kai turėsite abi šias realijas, suprasite, kad tikėtis, kad kita įmonė saugos jūsų saugumą, yra kvailas reikalas ir kad daug prasmingiau sutelkti dėmesį į viską, kas įmanoma, siekiant užkirsti kelią tapatybės vagims, piktavaliams įsilaužėliams ar kitiems ne piktnaudžiauti prieiga prie minėtų duomenų.

Tai apima prielaidą, kad visi slaptažodžiai, kuriuos naudojate vienoje svetainėje, galų gale bus įsilaužti, nutekėti ar parduoti internete (žr. „Reality # 2“) ir kad dėl to yra labai bloga idėja pakartotinai naudoti slaptažodžius keliose svetainėse. Pavyzdžiui, jei kur nors kitur naudojote savo „Starwood“ slaptažodį, tai kitai paskyrai, kurioje jį naudojote, dabar kyla daug didesnė rizika, kad bus pažeista.

Beje, jei esate tas žmogus, kuris mėgsta pakartotinai naudoti slaptažodžius, tuomet tikrai turite naudoti slaptažodžių tvarkytuvę, kuri padės jums pasirinkti ir prisiminti tvirtus slaptažodžius / slaptažodžius ir iš esmės leidžia naudoti tą patį tvirtą pagrindinį slaptažodį. / slaptafrazė visose svetainėse.

The „Tarkime, kad esate susikompromitavę “filosofija apima jūsų kredito bylų įšaldymą pagrindiniuose kredito biuruose ir reguliarų užsakymą nemokamoms jūsų kredito bylos kopijoms iš annualcreditreport.com, kad įsitikintumėte, jog niekas nesijaučia su jūsų kreditu (išskyrus jus).

Tai reiškia, kad jūsų vėliava bus pasodinta įvairiose internetinėse tarnybose, kol sukčiai tai padarys už jus, pvz., Socialinės apsaugos administracijoje, JAV pašto tarnyboje, Vidaus pajamų tarnyboje, jūsų mobiliojo ryšio paslaugų teikėjui ir interneto paslaugų teikėjui (IPT).

Darant prielaidą, kad kompromisas reiškia labai mažai pasitikėjimo viskuo, kas jums eina el. Paštu. Pavyzdžiui, atsižvelgdami į šį „Marriott“ / „Starwood“ pažeidimą, apsvarstykite visus duomenų taškus, kuriuos užpuolikams dabar gali tekti įvykdyti sukčiavimą ar kenkėjišką programą: jūsų „Starwood“ paskyros numerį, adresą, telefono numerį, el. Pašto adresą, paso numeris, jūsų užsakymų datos ir laikas bei kreditinės kortelės informacija.

Kaip sunku būtų kam nors sukurti el. Laišką, įspėjantį apie problemą, susijusią su neseniai atlikta rezervacija ar jūsų „Starwood“ paskyra, raginant spustelėti įstrigusią nuorodą ar priedą, kad sužinotumėte daugiau? Dabar įsivaizduokite, kad tokie tiksliniai el. Laiškai gali būti gaunami iš bet kurio prekės ženklo, su kuriuo esate užsiėmę verslu (apie atnaujinimą žr 2 tikrovė aukščiau).

Darant prielaidą, kad esate susikompromitavę, sustiprinsite savo slaptažodžius, patvirtindami patikimesnį daugiakomponentį autentifikavimą ir galbūt net pereidami nuo daugiafunkcinių SMS / tekstinių pranešimų prie saugesnių programų ar raktų pagrįstų parinkčių.

SUNKI PREKYBA

Jei aukščiau pateiktas patarimas skamba nepatogiai, nesąžiningai ir brangiai kainuoja visiems dalyvaujantiems žmonėms, sveikiname: jums sekasi įsisąmoninti tikroves Nr. 1 ir Nr. 2. Gerai ar blogai – būti nuovokiu vartotoju reiškia nuolat tenkinti sunkius kompromisus tarp saugumo, privatumo ir patogumo.

O ir jūs paprastai galite pasirinkti tik dvi iš trijų šių savybių. Tas pats pasakytina apie greito, kokybiško ir nebrangaus trio. Arba gerai, greitai ir pigiai. Vėl pasirinkite du. Jūs suprantate idėją.

Deja, šie sandoriai tampa dar labiau pakrypę ir sunkiai pasveriami, kai viena jų šalis visada pasirenka tą patį kompromisą (pvz., Greitą, nebrangų ir patogų). Šiuo metu atrodo, kad nėra daug pasekmių, kai didžiulės kompanijos, kurios turėtų geriau žinoti, masiškai įsitraukia į saugumą, palikdamos vartotojams ir jų mokantiems klientams išvalyti netvarką.

Nežinau, kiek dar reikia ilgalaikių privatumo ir saugumo problemų, kad įtikintume savo tautos lyderius, jog galbūt turėtume įstatymuose įtvirtinti kai kuriuos pagrindinius priežiūros standartus, kaip įmonės tvarko ir saugo vartotojų duomenis, ir kokias teises ir lūkesčius turėtų turėti vartotojai kai įmonės nesilaiko tų standartų. Nes akivaizdu, kad tol, kol taip neįvyks, kai kurie ten esančių įmonių pogrupiai ir toliau pateiks tikslingiausius ir trumparegiškiausius kompromisus, neatsižvelgiant į jų klientų ir plačiosios visuomenės poveikį.

Šiuo klausimu, kaip ir daugeliui kitų, susijusių su interneto saugumu ir privatumu, man buvo sunku ginčytis su savo valstybės nuomone Senatorius Markas Warneris (D-Va.), Kuris pastebėjo:

„Panašu, kad kas antrą dieną sužinome apie naują pažeidimą, turinčią įtakos milijonų amerikiečių asmens duomenims. Užuot priėmęs šią tendenciją kaip naują normą, šis naujausias incidentas turėtų sustiprinti Kongreso ryžtą. Turime priimti įstatymus, kuriuose reikalaujama kuo labiau sumažinti duomenis, užtikrinant, kad įmonės nelaikytų neskelbtinų duomenų, kurių jiems nebereikia. Praėjo laikas priimti duomenų saugumo įstatymus, kurie užtikrina, kad įmonės atsižvelgtų į saugumo išlaidas, o ne priverstų savo vartotojus prisiimti naštą ir žalą, atsirandančią dėl šių netekimų. “