Améliorer la cybersécurité est l'affaire de tous

La sensibilisation des consommateurs à la sécurité est en augmentation en Amérique. Nous devrions en être reconnaissants, car l'apathie a l'habitude de produire de mauvais résultats – pour les entreprises, les gouvernements et les individus.

Mais l'engagement du public n'est toujours pas là où il devrait être. Seul un tiers des Américains ont déclaré que la défense contre les cyberattaques devrait être une priorité absolue pour le gouvernement fédéral en 2021, par exemple. Alors que le manque de sécurité coûte maintenant des vies, interrompt les chaînes d'approvisionnement alimentaire, augmente le prix du gaz et interfère dans notre processus démocratique, pourquoi ne nous en soucions-nous pas plus ?

Il n'y a pas de réponse facile. Mais pour sortir de ce cycle, nous devons recentrer la sécurité en tant qu'effort collectif. Cela signifie que des mesures doivent être prises au sein du gouvernement, du secteur privé et des sphères des consommateurs.

Les menaces sont partout.

Les menaces pour la sécurité sont en augmentation aux États-Unis et dans le monde. Ils prennent de nombreuses formes, du cyberespionnage gouvernemental aux ransomwares, en passant par le vol de données personnelles et la fraude. COVID-19 a fourni une énorme opportunité à l'économie de la cybercriminalité de plusieurs milliards de dollars de se développer encore plus. Les attaques mondiales de ransomware ont grimpé de 150 % en glissement annuel en 2020, le montant moyen des extorsions ayant doublé. Aux États-Unis, le troisième trimestre de 2021 a vu le nombre de violations de données enregistrées dépasser le chiffre pour l'ensemble de 2020, les estimations prédisant une année record.

Pourtant, les consommateurs sont trop souvent désensibilisés par ce qu'ils lisent dans les actualités, et la sécurité et alertes de fraude qui clignotent sur leurs écrans. Nous disons une chose – que nous nous éloignerions d'une marque à la suite d'une violation – mais en fin de compte, beaucoup d'entre nous ne font rien. Cela ne fait qu'encourager les entreprises à privilégier le coût et la commodité par rapport à la sécurité.

Une partie du problème est que de nombreuses organisations organisent des programmes de sensibilisation et de formation à la sécurité sans intérêt pour le personnel, voire aucun cours. Selon Gartner, 60% des grandes entreprises auront un équivalent temps plein dédié à la formation d'ici 2022. Mais cela laisse des lacunes importantes.

Le résultat est qu'une grande partie de la population ne pense pas activement à la cybersécurité. Nous abdiquons la responsabilité des équipes de sécurité – dans notre organisation et celles qui travaillent à l'intérieur des fabricants et des fournisseurs de services qui recherchent notre coutume.

Bring it home.

Pourtant, la sécurité a un impact encore plus grand sur tous nos vies. Combien ont attendu du gaz pendant des heures lorsque Colonial Pipeline a été frappé par un ransomware ? Combien ont eu des informations personnelles et financières glissées dans des violations comme Equifax ou Capital One, ou ont passé d'innombrables heures à essayer de récupérer leur identité et leur cote de crédit ? Combien ont directement perdu de l'argent dans une escroquerie de rencontre ou d'investissement ? Selon le FBI, les premiers ont coûté aux victimes plus de 600 millions de dollars en 2020.

Nous avons même vu comment un plus grand engagement du public peut obliger les entreprises à apporter des améliorations. Les problèmes de confidentialité post-Cambridge Analytica ont forcé Facebook à apporter des changements majeurs à son mode de fonctionnement. Ce n'est certainement pas parfait, mais l'entreprise s'est beaucoup améliorée aujourd'hui. Une réaction publique contre les assistants domestiques intelligents envahissant la vie privée a également forcé une plus grande transparence de la part de Google, Apple et Amazon, et plus de contrôle pour les utilisateurs.

Pourtant, trop souvent, en matière de cybersécurité, nous attendons toujours quelqu'un d'autre. pour régler le problème. Il est douteux qu'un seul problème puisse jamais causer une douleur collective et immédiate telle qu'elle entraîne des changements en profondeur. promouvoir une plus grande responsabilité du secteur privé via une approche « nationale » de la cybersécurité. Mais pour que cela fonctionne vraiment, nous devons également inclure les consommateurs dans la conversation. Ils ne peuvent plus être des observateurs passifs des événements. Ceci peut être fait. Voici trois piliers clés, qui sont tous essentiels pour créer un changement positif :

1. Les États peuvent adopter des lois plus strictes sur la cybersécurité : La loi californienne sur la garantie des consommateurs Song-Beverly (« lemon law ») contient une section qui s'applique à l'électronique coûtant plus de 100 $. Le fabricant doit rendre les pièces de rechange disponibles même après l'expiration d'une période de garantie. Cela devrait être étendu pour exiger que les appareils technologiques aient une mémoire et une capacité de stockage de données suffisantes pour gérer les mises à jour de sécurité, et pour établir des normes pour quand et comment les mises à jour doivent être fournies. Idéalement et par défaut, les mises à jour doivent être appliquées avec une intervention minimale du consommateur. Malheureusement, à l'heure actuelle, des mesures comme celle-ci devront être un effort état par état. conviviales, les entreprises doivent planifier un « cycle de vie de la sécurité » qui s'étend au-delà des garanties de 0, 90 ou 365 jours typiques de nombreux appareils électroniques grand public. Les fournisseurs avant-gardistes doivent également établir une certification d'association industrielle pour les appareils qui répondent à une norme de sécurité publiée.
• Les entreprises doivent impliquer les consommateurs de manière proactive : Les clients doivent être impliqués dans la conversation. Par le passé, une plus grande prise de conscience a conduit les consommateurs à exiger des produits plus recyclables et moins nocifs pour l'environnement. Les entreprises peuvent contribuer à créer une demande de sécurité similaire pour les consommateurs en développant une norme industrielle avec un logo de certification désigné pour les produits et les emballages, comme mentionné ci-dessus. . Nous devons nous améliorer pour protéger et empêcher qu'il soit un vecteur de criminalité. Cela fait de la cybersécurité le problème de tout le monde aujourd'hui. Et, de même, l'améliorer est désormais l'affaire de tous.