Когда защита конфиденциальности превращается в вторжение в частную жизнь?

Недавно я попытался поиграть с некоторыми из лучших приложений безопасности для своего iPhone и проверил очень впечатляющий пакет под названием Lookout. Одна из его особенностей заключается в том, чтобы сделать кражу личных данных немного сложнее. Все идет нормально.

Служба сообщает, что она ищет в темной сети и в различных базах данных поиск утечек, вполне вероятно, из-за взлома. Это звучит достойно.

Итак, я начинаю заполнять онлайн-формы, и вскоре моя голова наполнилась протестующими голосами каждого главного сотрудника по вопросам конфиденциальности, с которым я когда-либо разговаривал. Lookout начинается с запроса всех ваших адресов электронной почты и телефонных номеров, прежде чем переходить к полному номеру водительского удостоверения, номерам карты медицинской страховки и полному паспорту. Он также запрашивает полную информацию о банковском счете (номера маршрутов тоже), все номера кредитных и дебетовых карт и номер социального страхования, а также просит подключиться к Facebook, Twitter, LinkedIn и Instagram.

Честно говоря, я вижу, что делает Lookout, и в интервью старший директор по управлению продуктами Lookout Дэвид Ричардсон подчеркнул, что клиенты могут пропустить все или некоторые из этих вопросов – но моя первая реакция был, “Эй! Мы только что встретились. Почему вы делаете все возможное, чтобы звучать как самый вопиющий вор личности на этой стороне Северного полюса?”

Учитывая, что цель Lookout четко сформулирована (в настоящее время у меня нет оснований сомневаться в компании), в чем проблема? Несколько вещей. Во-первых, просто иметь такой обширный диапазон PII в одном месте относительно одного человека опасно. Если какое-либо нарушение со стороны Lookout действительно произойдет – безопасность не идеальна, – это было бы бонусом для кибер-вора. С точки зрения безопасности, маркетинг этой компании об этой услуге сам по себе может привлечь к сайту личность и кибер-воров. Они могут потратить дополнительные ресурсы и усилия, чтобы взломать, что на самом деле не то, что хочет клиент.

Два, он отправляет неверное сообщение. Защитники конфиденциальности справедливо утверждают, что никогда никому и любому сайту не дают больше информации, чем им абсолютно необходимо (здесь необходимо знать «нужно знать»). И когда компания напрямую запрашивает такой золотой прииск данных PII (вероятно, именно запрос паспортных данных действительно вызвал у меня рост), это заставляет людей волноваться. Что, люди могут задаться вопросом, является ли эта страница фишинговой страницей, которая была разработана, чтобы просто выглядеть как страница Lookout? Как пользователь должен сказать разницу?

Три, в 2020 году (хорошо, когда мы это близки к 2020 году), ни одна компания не является островом. Что если один из его сотрудников перешел на темную сторону? Что если компания, которую вы используете для резервного копирования, будет взломана? Что если фирма, используемая для аварийного восстановления, будет взломана? Что если ваш поставщик облачных услуг будет взломан?

В основном, однако, это проблема восприятия конфиденциальности. Что, если полицейское управление предложит услугу, в которой он будет вести онлайн список всех ваших самых ценных вещей, чтобы ускорить выздоровление и страхование, если вы станете жертвой грабителя? Звучит привлекательно. Затем вы переходите на страницу полицейского управления и запрашиваете стоимость вашего самого ценного имущества, где он находится, комбинацию вашего сейфа (на случай, если полиции нужно быстро получить доступ, чтобы вытереть отпечатки пальцев), дни и часы, когда вы ожидаете дом должен быть пустым, характер и коды доступа для любой системы безопасности, где вы оставляете ключи от своего дома, код доступа к воротам гаража и т. д. Разве это не вызывает больше беспокойства, чем предлагает комфорт? Даже если это законно, разве чувствительность вопросов (и тот факт, что это список пожеланий всего, что грабитель хотел бы знать) не предполагает, что это плохая идея?

Конфиденциальность – это не просто конкретная концепция. Это также абстрактно, и людям нужно изменить то, как они думают о PII. Нужно изменить отношение, чтобы побудить людей быть более осторожными и осторожными. Корпоративные CISO и ИТ-директора хотят и нуждаются в таком изменении восприятия. Независимо от того, насколько превосходны предложения Lookout и другие подобные продукты и услуги, они должны поддерживать изменение восприятия. Начинать процесс регистрации с того, что мы просим обо всем, что мы хотим, чтобы люди никогда не раскрывали, кроме случаев, когда необходимо знать, вероятно, неоптимально. Очень неоптимальный.

10
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Добавить комментарий

Перейти к верхней панели