Cosa possiamo fare contro le minacce incombenti alla nostra privacy online e il furto di importanti informazioni personali? Ari Trachtenberg ha alcune idee.
L'anno scorso ha preso il via con la scoperta di Cambridge Analytica per l'accesso ai dati privati su almeno 87 milioni di utenti Facebook e si è concluso con Marriott annunciando che 500 milioni dei suoi account erano stati compromessi.
Anche Quora, MyFitnessPal, Google+, MyHeritage e Lord & Taylor hanno recentemente subito violazioni della sicurezza informatica, ognuna delle quali ha esposto i dati sensibili di milioni di utenti.
Qui Trachtenberg, professore di ingegneria elettrica e informatica all'Università di Boston, esperto di cybersecurity e membro della Cyber Alliance dell'università, affronta le minacce di cybersecurity più diffuse per prevedere nei prossimi mesi - e le politiche, i regolamenti e le pratiche commerciali che può aiutare a mitigare il rischio cibernetico e aumentare la protezione della privacy.
Q
Qual è la minaccia di cybersecurity più diffusa di cui dovremmo essere a conoscenza?
A
Credo che la "privacy" dominerà le nostre preoccupazioni quest'anno. Abbiamo già visto come perdite di privacy apparentemente irrilevanti (ad esempio, post di Facebook per gli amici) possono essere sfruttate per ottenere un vantaggio politico (ad esempio, le elezioni 2016), e mi aspetto che gli organi legislativi assumano una posizione sempre più forte sui diritti dei dati dei consumatori -Come è già successo in Europa con il regolamento generale sulla protezione dei dati.
Le imprese possono anticipare ciò suggerendo protezioni trasparenti e verificabili in modo indipendente per i consumatori. Tuttavia, sta diventando sempre più chiaro che c'è ben poco che i consumatori possano fare per mitigare la loro perdita di privacy da parte di terzi (con i quali, molto spesso, non hanno nemmeno una relazione). Forse il ricorso più efficace (nelle democrazie) è politico.
Q
Quali sono le maggiori lacune politiche da una prospettiva sulla privacy che devono essere affrontate?
A
Per quanto riguarda la riservatezza dei dati, ritengo che il compito più importante che può essere svolto dal governo (non solo la Casa Bianca, ma anche il Congresso e la magistratura) sia definire una chiara responsabilità per la perdita della privacy.
Oggi, le aziende possono perdere informazioni personali e sensibili su milioni di clienti con poco più di uno stigma sociale (che le società hanno molta esperienza combattendo nei loro dipartimenti di pubbliche relazioni). I nostri tribunali non sanno come mettere un importo in dollari sulla perdita della privacy di una persona. Di conseguenza, non vi è alcun chiaro e forte incentivo finanziario per le aziende a rafforzare la loro tutela della privacy.
La responsabilità si è rivelata un modo eccellente per affrontare tali problemi nel panorama del prodotto, dove, ad esempio, i produttori ora testano attentamente le loro apparecchiature elettriche e ottengono la certificazione Underwriter Laboratories o rischiano azioni legali significative se le persone vengono ferite. Per vedere un successo simile nel mondo cibernetico, abbiamo bisogno di una definizione chiara e applicabile della responsabilità della privacy.
Q
Pensi che ci sarà una spinta per ulteriori regolamenti su come le grandi aziende tecnologiche, come Facebook e Google, utilizzano e monetizzano i dati dei consumatori?
A
Penso che ci sarà una spinta per rompere le grandi aziende tecnologiche o regolarle molto più pesantemente. Le grandi aziende tecnologiche mantengono il controllo su quantità di dati storicamente senza precedenti che, con l'aiuto dell'informatica moderna, sono altamente individualizzate.
Da un lato, sembrano avere il potere di oscurare le elezioni e le politiche sociali, orientare i mercati finanziari e azionari e leggere le tendenze su una scala mai vista prima. D'altra parte, la loro nuova ricchezza consente loro di promuovere grandi sfide e una visione tecnica che non può essere attuata su scala più ridotta (ad esempio, veicoli autonomi, enciclopedie globali ricercabili, mercati di acquisto su scala mondiale, ecc.).
Preferirei suddividere le società più grandi piuttosto che regolarle, in quanto le normative prive di lacune sono notoriamente difficili da scrivere correttamente senza soffocare l'innovazione e la trasparenza.
Q
La privacy dei dati e la sicurezza dei dati sono stati a lungo considerati due missioni separate con due obiettivi separati. Pensi che questo stia cambiando?
A
Per quanto riguarda la privacy dei dati rispetto alla sicurezza, direi che i due sono tecnicamente (ma non socialmente) inestricabili. Le violazioni della sicurezza sono responsabili di enormi perdite di privacy e le violazioni della privacy possono spesso essere sfruttate per vulnerabilità della sicurezza. Tuttavia, come ho detto prima, a differenza dell'ampia area della sicurezza informatica, c'è pochissimo interesse finanziario a proteggere la privacy nel panorama industriale (o, francamente, governativo) di oggi.
Q
I consumatori prestano maggiore attenzione al mantenimento e al controllo della loro privacy personale e dei dati delle società. A parte i potenziali regolamenti politici, pensi che emergeranno nuove soluzioni tecnologiche per aiutare i consumatori a mantenere un migliore controllo dei loro dati?
A
Il panorama delle minacce tecnologiche è enorme e non abbiamo davvero alcun controllo su come proteggerlo tecnicamente. Il mio pensiero personale è che il compito è impossibile, proprio come fare un lucchetto a prova di beccata o una nave inaffondabile. Invece, dobbiamo concentrare la nostra attenzione su soluzioni tecniche e legali comuni.
Q
Cosa dovrebbero fare gli attuali funzionari per la sicurezza informatica per mitigare il crescente rischio per la privacy dei dati?
A
C'è ancora molto da fare nel campo della sicurezza informatica, ma ci sono alcune "buone pratiche" di base che ogni responsabile della sicurezza dell'informazione dovrebbe conoscere e formare per mantenere i dipendenti.
Un modo per mitigare il rischio per la privacy è, semplicemente, non memorizzare o elaborare informazioni private o sensibili. Le aziende dovrebbero riflettere attentamente su ogni bit di informazione che ricevono dai clienti, soppesando il vantaggio di avere queste informazioni contro il rischio di perderle. Il problema è che molto spesso le aziende non si rendono conto di quanto possa essere dannosa la perdita di informazioni.
Ad esempio, la violazione di 2012 di LinkedIn (scarsamente) delle password con hash sarebbe stata in seguito utilizzata nelle e-mail di estorsione, che utilizzavano le password incrinate per convincere i destinatari sfortunati che gli estorsori avevano informazioni compromettenti.
Q
Dove pensi che sia necessario il maggior finanziamento nella ricerca sulla sicurezza informatica? Ci sono aree che ritieni debbano essere prioritarie?
A
Penso che gli Stati Uniti abbiano bisogno, più disperatamente, di maggiori finanziamenti per la ricerca di base di tutti i tipi, non solo per la ricerca sulla sicurezza informatica. La vera innovazione non viene spesso dall'orientamento amministrativo, ma piuttosto dall'ispirazione e dalla ricerca di idee impreviste.
Q
Quale impatto vorresti ottenere nello spazio dedicato alla sicurezza informatica / privacy?
A
Ho analizzato il campo emergente dei canali laterali, in cui le informazioni sono trapelate (in genere involontariamente) dall'uso regolare di dispositivi e software tecnici. Il mio obiettivo sarebbe quello di sviluppare alcune proprietà ampie e generali di questi canali, dove si formano e come possiamo mitigarli. L'impatto di tale lavoro sarebbe un mondo tecnico più sicuro e più aperto, ma ben poche persone lo realizzerebbero.
Fonte: Boston University
libri correlati
at InnerSelf Market e Amazon
