Voici le gros problème avec trop de confiance

Février
25, 2021

6 min de lecture

Les opinions exprimées par les contributeurs de Entrepreneur sont les leurs.

Zéro La confiance est un concept populaire en cybersécurité . Il faisait initialement référence aux équipes de sécurité d'entreprise qui construisaient des processus qui supprimaient toute confiance des utilisateurs finaux.

C'est une approche valable. Par exemple, j'aime diriger des entreprises qui ne me dérangent pas si les employés cliquent sur de mauvais liens. Nous comprenons que ce sera impossible à éviter, alors nous nous préparons à l'inévitable – et n'avons aucune confiance dans le comportement parfait de nos employés.

Mais lorsque le «ballon de confiance» est pressé pour retirer la confiance des utilisateurs finaux, alors où va-t-il? Il existe deux destinataires possibles: les organisations de sécurité d'entreprise et les logiciels achetés par les entreprises.

Étant donné que les organisations de sécurité sont omniprésentes en sous-effectif et débordées, les forces du marché sont intervenues pour resserrer le ballon de confiance une fois de plus. La confiance a été éliminée de l'utilisateur final et déléguée par les organisations de sécurité d'entreprise en sous-effectif aux grands fournisseurs de services et aux éditeurs de logiciels. Nous faisons confiance à Big Tech – Google Facebook Amazon, Microsoft Slack et Zoom – pour être les gardiens de nos données les plus critiques. Nous avons accordé notre confiance à une industrie fondée sur la rapidité et l'acceptation du risque qui n'a aucune responsabilité autre que les forces du marché.

Là où les modèles de confiance changeants tournent mal

Bien que cela puisse sembler une solution raisonnable à la confiance Big Tech avec vos données, vous devez d'abord être clair sur une chose – ces entreprises sont avant tout intéressées par l'augmentation de leur part de marché, pas par la sécurité. Par exemple, Zappos accepte un certain niveau de fraude Microsoft Teams accepte l'exécution occasionnelle de code à distance et SolarWinds était plus rentable s'ils ne gardaient un œil sur leur processus de création de logiciels . Dans ces cas. la sécurité des données et la confidentialité ont été dissociées de la rentabilité et de l'évaluation. Une faible qualité et un risque élevé étaient des résultats acceptables dans la poursuite des évaluations élevées et de la création de richesse pour les cadres.

Mais le ministère de la Justice ne peut pas fonctionner selon un modèle de risque similaire. Il n'est pas acceptable pour que la Russie ait un accès illimité au courrier électronique du DOJ et le Bureau de la gestion du personnel ne peut accepter la violation occasionnelle donnant aux agences de renseignement chinoises accès aux dossiers personnels de 22 millions d'employés du gouvernement . Il est évident que nos intérêts en matière de sécurité nationale ne sont pas soutenus par l’utilisation de logiciels vulnérables. Et pourtant, l'appareil de sécurité nationale repose sur une technologie qui donne la priorité à la rentabilité et à l'évaluation avant tout.

L'effet des forces du marché sur la sécurité

Les forces du marché ont dicté qu'une mentalité de mouvement rapide et de rupture des choses est le moyen le plus fiable pour atteindre la part de marché et la valorisation la plus élevée possible. Pour un PDG technologique, le plus long chemin vers le statut de milliardaire a été de développer des produits sécurisés et bien conçus. Nos modèles de confiance changeants ont placé la responsabilité de la sécurité des données aux pieds des décideurs les moins incités à créer des logiciels sécurisés.

Je ne veux pas dire que les PDG milliardaires des plus grandes sociétés de logiciels du monde sont naturellement enclins à abuser de la confidentialité et des données – ce sont plutôt des génies motivés par le profit qui sont naturellement enclins à rivaliser et à gagner dans les couloirs de nage réglementaires qui leur est donné.

Connexes: Les tendances de la cybersécurité qui domineront le marché en 2020-2021

L'importance de la responsabilité

L'administration Clinton a donné à l'industrie technologique américaine une sortie carte sans prison avec la Loi sur les télécommunications de 1996 . En conséquence, la Silicon Valley a dominé – l'innovation s'est développée et est restée aux États-Unis.Avancer rapidement et casser les choses était la bonne approche. Aucune certification, aucun permis, aucune conséquence pour les problèmes de sécurité ou de confidentialité. Il est maintenant temps d'examiner la responsabilité et de mettre les directeurs financiers et les PDG à la merci de l'ingénierie douteuse.

En 2013, HTC a expédié 18 millions d'appareils mobiles vulnérables et a été condamnée à une amende par la Federal Trade Commission (FTC) . En 2019, Google a reçu une amende record de 57 millions de dollars par l'UE pour violation de la vie privée et la même année, Facebook a été frappé d'une amende record de 5 milliards de dollars pour ses infractions à la vie privée. En décembre dernier, Noah Phillips, membre de la FTC, a témoigné devant le Comité sénatorial du commerce, de la science et des transports que les mesures de protection de la vie privée des consommateurs de la FTC contre Facebook, TikTok YouTube, Zoom et d'autres entreprises avaient déjà eu «un impact plus important que n'importe quelle autre dans le monde». Cela peut être considéré par le profane comme un progrès et une direction correcte.

La triste réalité est que ces amendes sont si insignifiantes qu'elles favorisent en fait l'insouciance. Google génère près de 370 millions de dollars par jour grâce aux annonces . Une amende «record» de 57 millions de dollars n'est pas un ralentisseur – c'est une invitation à faire le feu. Plus que jamais, les forces du marché signalent à l'industrie de la technologie que l'ignorance de la sécurité est leur stratégie la plus rentable. Entrez dans la ligne conga des vulnérabilités et des failles de sécurité en 2020.

Ceci n'est qu'un échantillon des incidents de sécurité de l'année écoulée qui étaient les plus emblématiques des logiciels mal conçus qui ont eu un impact sur les grandes entreprises et la sécurité nationale:

• Microsoft, janvier 22

• Walgreens, 2 mars

• T-Mobile, 5 mars

• Unnamed UK-based Security Firm, 19 mars

• General Electric, 24 mars

• Zoom, 14 avril

• Facebook, avril 21

• Small Business Administration, 27 avril

• GoDaddy, 4 mai

• États-Unis Marshals, 13 mai

• Cognizant, 17 juin

• BlueLeaks, 22 juin

• Twitter, 23 juin

• Instagram, TikTok et YouTube, 20 août

• Fragomen, Del Rey, Bernsen & Loewy (Google ), 27 octobre

• Microsoft, 8 décembre

• FireEye / SolarWinds / DOJ / et al, 8 décembre

Il y a des esprits de la sécurité talentueux employés dans la plupart des grandes sociétés de logiciels, mais leurs fonctions sont affamées et mal desservies. Ils le resteront à moins que les régulateurs ne prennent sérieusement en compte la mise en application. Les amendes devraient être portées à des niveaux qui ont un impact significatif. Les bâtonnets peuvent être motivants, mais les carottes fonctionnent aussi. Les bilans devraient être vérifiés et les investissements dans l'ingénierie de la sécurité devraient être accrus à l'échelle de l'industrie. Les vulnérabilités logicielles et les violations de données devraient déclencher une surveillance obligatoire et des augmentations des budgets de sécurité. 19659008] Nous devrions exiger davantage des entreprises technologiques et créer des cadres réglementaires qui les tiennent responsables de la sécurité inacceptable des produits. La question qui se pose à notre industrie n'est PAS de savoir si le livre de jeu sur les brèches et les réponses utilisé pour construire et vendre des sonnettes vidéo devrait être utilisé par le Pentagone. Nous savons que la réponse est non.

Nous devons simplement arrêter d'abaisser nos normes de sécurité au nom de la commodité . Les coûts énormes nécessaires pour se remettre de la violation SolarWinds / Microsoft ne sont pas un fardeau acceptable pour les contribuables. Nous accordons toute notre confiance aux grands fournisseurs de technologie – des milliards de dollars de richesse sont créés dans ces éditeurs de logiciels. Il est maintenant temps pour ces entreprises d'assumer également leur juste part de responsabilité.

Related: