Apa yang dapat kita lakukan tentang ancaman yang membayangi privasi online kita dan pencurian informasi pribadi penting? Ari Trachtenberg punya beberapa ide.

Tahun lalu dimulai dengan Cambridge Analytica terekspos karena memperoleh akses ke data pribadi pada setidaknya 87 juta pengguna Facebook dan ditutup dengan Marriott yang mengumumkan bahwa 500 juta akunnya telah diretas.

Quora, MyFitnessPal, Google+, MyHeritage, dan Lord & Taylor juga baru-baru ini mengalami pelanggaran keamanan siber — masing-masing mengungkap data sensitif jutaan pengguna.

Di sini, Trachtenberg, seorang profesor teknik elektro dan komputer di Universitas Boston, pakar keamanan siber, dan anggota Cyber ​​Alliance universitas, memberikan pandangannya tentang ancaman keamanan siber yang paling luas untuk diantisipasi dalam beberapa bulan mendatang — dan kebijakan, peraturan, dan praktik bisnis yang dapat membantu mengurangi risiko siber dan meningkatkan perlindungan privasi.

Q

Apa ancaman cybersecurity paling luas yang harus kita waspadai?

A

Saya percaya bahwa "privasi" akan mendominasi kekhawatiran kami tahun ini. Kita telah melihat bagaimana kebocoran privasi yang tampaknya tidak penting (yaitu, posting Facebook ke teman-teman) dapat dimanfaatkan untuk keuntungan politik (yaitu, pemilihan 2016), dan saya berharap bahwa badan legislatif akan mengambil posisi yang semakin kuat pada hak data konsumen. —Seperti telah terjadi di Eropa dengan Peraturan Perlindungan Data Umum.

Bisnis dapat maju dengan menyarankan perlindungan yang transparan dan dapat diverifikasi secara independen bagi konsumen. Namun, menjadi semakin jelas bahwa sangat sedikit yang dapat dilakukan konsumen untuk mengurangi hilangnya privasi mereka dari pihak ketiga (dengan siapa, sangat sering, mereka bahkan tidak memiliki hubungan). Mungkin jalan paling efektif (dalam demokrasi) adalah politik.

Q

Apa kesenjangan kebijakan terbesar dari perspektif privasi yang perlu ditangani?

A

Sehubungan dengan privasi data, saya pikir bahwa tugas paling penting yang dapat diselesaikan oleh pemerintah (tidak hanya Gedung Putih, tetapi juga Kongres dan pengadilan) adalah mendefinisikan tanggung jawab yang jelas atas hilangnya privasi.

Saat ini, perusahaan dapat kehilangan informasi pribadi dan sensitif pada jutaan pelanggan dengan sedikit lebih dari stigma sosial (yang perusahaan punya banyak pengalaman berjuang melalui departemen hubungan masyarakat mereka). Pengadilan kami tidak tahu bagaimana cara menempatkan jumlah dolar pada hilangnya privasi seseorang. Akibatnya, tidak ada insentif keuangan yang jelas dan kuat bagi perusahaan untuk memperketat perlindungan privasi mereka.

Tanggung jawab telah membuktikan cara yang sangat baik untuk mengatasi masalah-masalah seperti itu dalam lanskap produk, di mana, misalnya, produsen sekarang dengan hati-hati menguji peralatan listrik mereka dan mendapatkan sertifikasi Underwriter Laboratories atau risiko gugatan hukum yang signifikan jika orang terluka. Untuk melihat kesuksesan serupa di dunia cyber, kita membutuhkan definisi tanggung jawab privasi yang jelas dan dapat ditegakkan.

Q

Apakah Anda pikir akan ada dorongan untuk peraturan lebih lanjut tentang seberapa besar perusahaan teknologi, seperti Facebook dan Google, menggunakan dan memonetisasi data konsumen?

A

Saya pikir akan ada dorongan untuk memecah perusahaan teknologi besar atau mengatur mereka jauh lebih berat. Perusahaan-perusahaan teknologi besar masing-masing mempertahankan kendali atas jumlah data yang secara historis belum pernah terjadi sebelumnya yang, dengan bantuan komputasi modern, sangat individual.

Di satu sisi, mereka tampaknya memiliki kekuatan untuk mengayunkan pemilihan umum dan kebijakan sosial, mengarahkan pasar keuangan dan saham, dan membaca tren pada skala yang belum pernah terjadi sebelumnya. Di sisi lain, kekayaan mereka yang baru ditemukan memungkinkan mereka untuk mendorong tantangan besar dan visi teknis yang tidak dapat diberlakukan pada skala yang lebih kecil (yaitu kendaraan otonom, ensiklopedia global yang dapat dicari, pasar pembelian di seluruh dunia, dll.).

Pilihan saya adalah untuk memecah perusahaan besar daripada mengaturnya, karena peraturan bebas celah sangat sulit untuk ditulis dengan baik tanpa menghambat inovasi dan transparansi.

Q

Privasi data dan keamanan data telah lama dianggap sebagai dua misi terpisah dengan dua tujuan terpisah. Apakah Anda pikir ini sedang berubah?

A

Sehubungan dengan privasi data versus keamanan, saya akan mengatakan bahwa keduanya secara teknis (tetapi tidak sosial) tidak dapat dipisahkan. Pelanggaran keamanan bertanggung jawab atas hilangnya privasi yang besar, dan pelanggaran privasi sering kali dapat dimanfaatkan untuk kerentanan keamanan. Namun, seperti yang saya sebutkan sebelumnya, tidak seperti area cybersecurity yang luas, ada sedikit kepentingan finansial dalam melindungi privasi di lanskap industri (atau, terus terang, pemerintah) saat ini.

Q

Konsumen lebih memperhatikan untuk menjaga dan mengendalikan privasi dan data pribadi mereka dari perusahaan. Selain potensi regulasi kebijakan, apakah menurut Anda solusi teknologi baru akan muncul untuk membantu konsumen mempertahankan kontrol data yang lebih baik?

A

Lansekap ancaman teknologi sangat besar, dan kami benar-benar tidak memiliki pegangan tentang cara melindunginya secara teknis. Pemikiran pribadi saya adalah bahwa tugas itu tidak mungkin — seperti membuat kunci anti-pengambilan atau kapal yang tidak dapat tenggelam. Sebaliknya, kita perlu memusatkan perhatian kita pada solusi teknis dan hukum bersama.

Q

Apa yang harus dilakukan petugas keamanan siber modern untuk mengurangi risiko privasi data yang semakin meningkat?

A

Selalu ada lebih banyak yang harus dilakukan dalam domain cybersecurity, tetapi ada beberapa "praktik terbaik" dasar yang harus diketahui dan dilatih oleh setiap kepala petugas keamanan informasi.

Salah satu cara untuk mengurangi risiko privasi adalah, cukup sederhana, untuk tidak menyimpan atau memproses informasi pribadi atau sensitif. Perusahaan harus berpikir dengan sangat hati-hati tentang setiap bit informasi yang mereka dapatkan dari pelanggan, menimbang manfaat memiliki informasi ini terhadap risiko kehilangannya. Masalahnya adalah bahwa seringkali, perusahaan tidak menyadari betapa merusaknya kehilangan informasi.

Sebagai contoh, pelanggaran LinkedIn 2012 dari kata sandi hash (buruk) nantinya akan digunakan dalam email pemerasan, yang menggunakan kata sandi yang dipecahkan untuk meyakinkan penerima yang tidak beruntung bahwa pemeras telah mengkompromikan informasi.

Q

Menurut Anda di mana dana paling dibutuhkan dalam penelitian cybersecurity? Adakah bidang yang menurut Anda harus diprioritaskan?

A

Saya pikir bahwa AS membutuhkan, dengan sangat putus asa, lebih banyak dana untuk penelitian dasar dari semua jenis, bukan hanya penelitian keamanan siber. Inovasi sejati tidak sering datang dari bimbingan administratif, melainkan melalui inspirasi dan mengejar ide-ide yang tidak terduga.

Q

Apa dampak yang ingin Anda capai secara khusus dalam ruang cybersecurity / privasi?

A

Saya telah menganalisis bidang yang muncul dari saluran samping, di mana informasi bocor (biasanya tidak sengaja) dari penggunaan rutin perangkat teknis dan perangkat lunak. Tujuan saya adalah untuk mengembangkan beberapa properti luas dan menyeluruh dari saluran-saluran ini, di mana saluran-saluran itu terbentuk, dan bagaimana kita dapat menguranginya. Dampak dari pekerjaan semacam itu akan menjadi dunia teknis yang lebih aman dan lebih terbuka — tetapi sangat sedikit orang yang benar-benar menyadarinya.

Sumber: Boston University

Buku terkait

at Pasar InnerSelf dan Amazon