Les fraudes et la cybersécurité
Il s'agit de la semaine de collecte de fonds Naked Capitalism. 597 donateurs ont déjà investi dans nos efforts pour lutter contre la corruption et les comportements d'éviction, en particulier dans le domaine financier. Veuillez vous joindre à nous et participer via notre page de don, qui montre comment donner par chèque, carte de crédit, carte de débit ou PayPal. Découvrez pourquoi nous organisons cette collecte de fonds, ce que nous avons accompli au cours de la dernière année et notre objectif actuel, en appuyant la section des commentaires
Par Jerri-Lynn Scofield, qui a travaillé comme avocate en valeurs mobilières et négociante en produits dérivés. Elle passe maintenant une grande partie de son temps en Asie et travaille actuellement sur un livre sur les artisans textiles.
L'ancien PDG d'Equifax, Richard Smith, est à mi-chemin de quatre jours de témoignages devant divers comités du Congrès - et il est profondément désolé »de la violation de données qui a compromis l'identité de plus de 140 millions d'Américains, comme le rapporte CNN.
L'ampleur de la fuite, la réponse timide de l'entreprise et la publicité massive qui a suivi ont convaincu les gens sérieux que QUELQUE CHOSE devait être fait.
Maintenant, nous pourrions penser que cela pourrait conduire nos créateurs du Congrès à une évaluation sobre et saine des défauts de cybersécurité, ou des conséquences de la centralisation de la collecte d'informations sans précaution et supervision (qu'elles soient collectées par une entreprise ou une agence gouvernementale).
Sinon, osons-nous espérer que le piratage pourrait inciter à repenser complètement le domaine réglementaire actuel - dans lequel nos données financières personnelles sont disponibles, 24 heures sur 24, 7 jours sur 7, plus ou moins à la demande, afin que les entreprises financières puissent nous saisir, protégées par les entreprises comme Equifax qui ne peut pas être dérangé pour installer un correctif logiciel de base pour protéger lesdites données contre toute compromission.
(Et, je pourrais mentionner en passant, ces données financières personnelles sont souvent liées à d'autres données personnelles confidentielles: par exemple, les dossiers médicaux, les antécédents d'achat.)
Certains membres du Congrès, tels que Janet Schakowsky, ont proposé une rupture radicale avec le système actuel: déplacer les rapports de crédit d'un système universel sur lequel un consommateur n'a aucun contrôle, à un système où vous pouvez vous retirer ou même, devoir opter pour des entreprises. d'utiliser vos données.
Selon l'ampleur des réponses, un tel changement détruirait essentiellement les modèles commerciaux des trois principales agences d'évaluation du crédit, en les empêchant de vendre vos données sans votre consentement. Comme Bloomberg le rapporte dans Ces cinq idées de sécurité des données émergées lors de l'audience d'Equifax:
Schakowsky a également déclaré qu'elle aimerait que les législateurs entament une discussion plus large sur le rôle des sociétés d'évaluation du crédit. Les consommateurs n'ont pas la possibilité de supprimer leurs informations des bases de données d'Equifax car elles sont fournies par des banques et des sociétés de télécommunications. La plupart des Américains ne savent vraiment pas combien d'informations »les entreprises possèdent, a déclaré Schakowsky. Je ne veux plus que vous ayez mes informations. Je veux contrôler mes informations. »
Semble raisonnable, oui?
C'est pourquoi les Serious People doivent monter une presse judiciaire complète pour s'assurer que quelque chose de si sensé ne soit pas mis en œuvre.
Qu'aucune crise ne soit gaspillée: possibilité de greffe
Rahm Emanuel a dit un jour: Vous ne voulez jamais qu'une crise sérieuse se perde. Et ce que je veux dire par là, c'est une occasion de faire des choses que vous pensez que vous ne pouviez pas faire auparavant. »
Leur réponse au piratage d'Equifax: remplacer les numéros de sécurité sociale par un système qui pourrait inclure un système d'identité biométrique universel, ainsi que d'autres vérifications numériques, comme le rapporte Bloomberg dans The White House et Equifax conviennent: les numéros de sécurité sociale devraient disparaître
Grosse erreur. Bien que je l'admette, cela créerait de nombreuses possibilités de greffe.
Tout d'abord, ne faites pas de mal: illusion de fées de biosécurité
L'une des raisons avancées pour remplacer les numéros de sécurité sociale est qu'ils ne peuvent pas être modifiés. Ainsi, une fois qu'une base de données est piratée - et qu'un nombre est compromis - vous êtes toujours coincé avec ce numéro et devez faire face aux conséquences. Selon Bloomberg, à la Maison Blanche et à Equifax, d'accord: les numéros de sécurité sociale devraient aller:
L'échec du numéro de sécurité sociale est qu'il n'y en a qu'un pour chaque personne, une fois qu'il est compromis une fois, vous avez terminé », Bob Stasio, membre du Truman National Security Project et ancien chef des opérations au Cyber Agency de la National Security Agency Centre des opérations.
Eh bien, pourquoi ça? Ces chiffres sont une construction artificielle. Ils ne sont ni divinités, ni tatoués sur nos fronts, ni incrustés en nous à la naissance - ou du moins pas encore.
Si le problème est qu'une fois compromis, les chiffres ne peuvent pas être modifiés, changeons cela. Plutôt que de créer un système entièrement nouveau, en supposant que la forme de l'identifiant résout le problème.
Restez avec moi pendant que j'expose l'alternative et montrez l'évidence - vos données biométriques: votre ADN, votre globe oculaire, vos empreintes digitales. Maintenant, cela ne peut vraiment pas être changé. Si ces données sont le moyen par lequel vous êtes connu d'une base de données et qu'elles sont piratées ou compromises, quel serait votre recours? Vous ne pouvez pas remplacer vos yeux ou vos doigts ou acquérir un ADN complètement différent.
L'utilisation d'un système biométrique alors que le problème de base de la sécurisation et de la sauvegarde des données n'a pas encore été résolu ne fera qu'aggraver, et non résoudre, le problème du piratage.
Ce qu'on nous demande de faire, c'est de remettre nos informations biométriques, puis de faire confiance à ceux à qui nous le faisons pour protéger ces données.
Compte tenu de l'état actuel de la sécurité des bases de données, de la responsabilité des entreprises et des gouvernements, etc.: Comment pensez-vous que cela va se jouer?
D'autant que Bloomberg cite l'un des principaux défenseurs du changement, Rob Joyce, assistant spécial du président et coordinateur de la cybersécurité de la Maison Blanche, sur ce qui le préoccupe vraiment:
C'est vraiment clair, il doit y avoir un changement, mais nous devrons examiner les détails de ce qui est proposé », a déclaré Joyce. Dans la réponse au piratage d'Equifax, cependant, a-t-il dit, nous devons faire attention à balkaniser les réglementations. C'est vraiment dur pour les entreprises aujourd'hui »face aux régulateurs locaux, étatiques et fédéraux ainsi qu'aux règles internationales, a-t-il ajouté.
Imagine ça! Face à cette violation de données généralisée, ce qui exerce Joyce est le fardeau réglementaire auquel les entreprises doivent faire face pour sécuriser vos données. Est ce réel?
Identification et authentification de Mangling
Un problème fondamental est une confusion entre l'utilisation de l'identifiant - qu'il s'agisse d'un nombre ou biométrique - pour l'identification et l'authentification. Le simple fait de passer à un système biométrique ne résout pas ce problème, car si la base de données est piratée, les pirates disposent désormais également de vos informations biométriques! Alors qu'actuellement, ils n'avaient accès qu'aux données numériques.
Permettez-moi de citer longuement un e-mail de notre propre Naked Capitalism Richard Smith sur cette question, car il comprend ces questions bien mieux que moi. Je tiens à souligner l'opportunité spectaculaire de confusion dans la mesure où notre Richard partage un nom avec l'ancien PDG d'Equifax.
Je tiens donc à souligner que toutes les citations qui suivent proviennent du Naked Capitalism Richard Smith:
Si l'on échange un ancien numéro contre un nouveau:
l'ancien identifiant compromis est tout aussi bon pour identifier une personne que le nouveau post piraté. Le nouveau numéro est redondant. Ni l'ancien numéro ni le nouveau numéro ne peuvent s'authentifier et c'est le nœud du problème.
En principe, il existe de nombreuses façons de s'identifier à un système informatique. mais ils doivent tous satisfaire à une exigence d'unicité. Je suppose que le numéro de sécurité sociale le fait aux États-Unis. Ailleurs, on peut le faire en fournissant son nom, son adresse et sa date de naissance. Certes, cela repose sur le fait qu'il n'y a pas de jumeaux, de triplés, de quads, etc. tous ayant le même nom et cohabitant, mais AFAIK, jusqu'à présent tout va bien.
Donc, d'une façon ou d'une autre, son identifiant est unique. Tout bon. Les utilisateurs peuvent dire qui ils sont et ne pas se confondre avec quelqu'un d'autre par la machine aveugle. Mais ils ne peuvent toujours pas prouver qu'ils sont ce qu'ils prétendent être. Ce qu'un numéro de sécurité sociale ou un nom / adresse / date de naissance ne fait pas et ne peut pas faire, c'est prouver que la personne qui présente les informations d'identification est bien ce qu'elle prétend être. N'importe qui peut inventer un nom et une adresse et même sans fuite de données ou piratage, un véritable numéro de sécurité sociale peut être fabriqué. Donc, peu importe si le numéro de sécurité sociale que vous produisez est l'original ou son remplacement post-piratage. Ni l'un ni l'autre n'est digne de confiance.
Il est particulièrement facile de fabriquer une pièce d'identité s'il n'y a pas de chair et de sang humain dans la boucle. Puisque l'élimination du corps humain et du sang humain du processus est le nom complet du jeu informatique, l'authentification est un gros problème non résolu. Sans authentification, il ne peut y avoir de confiance. Sans confiance, l'ensemble de l'entreprise sociale humaine subit un coup fatal (voir Twitterbots non authentifiés pour un exemple récent omniprésent et évident). C'est pourquoi les gens disent "nous avons besoin d'un tout nouveau système". Ils ont raison, mais tant que nous n'aurons pas construit de systèmes anti-piratage, cela n'arrivera pas. Suit maintenant une version plus courte de la phrase précédente. Ça ne va pas arriver.
Trackbacks are disabled.
Articles récents
- Comment utiliser les tissus en décoration
- Tourisme et technologie: les clés du succès de Lisbonne
- Karl Popper : Philosophe de la Science et Défenseur de la Société Ouverte
- un voyage dans l’univers de la parfumerie
- Comment la géopolitique influence les accords commerciaux bilatéraux
Utile:
Archives
- mars 2024
- février 2024
- novembre 2023
- octobre 2023
- juillet 2023
- juin 2023
- mars 2023
- février 2023
- octobre 2022
- septembre 2022
- juin 2022
- mai 2022
- avril 2022
- mars 2022
- février 2022
- décembre 2021
- novembre 2021
- octobre 2021
- septembre 2021
- août 2021
- juillet 2021
- juin 2021
- mai 2021
- avril 2021
- mars 2021
- février 2021
- janvier 2021
- décembre 2020
- novembre 2020
- octobre 2020
- septembre 2020
- août 2020
- juillet 2020
- juin 2020
- mai 2020
- avril 2020
- mars 2020
- février 2020
- janvier 2020
- décembre 2019
- novembre 2019
- octobre 2019
- septembre 2019
- août 2019
- juillet 2019
- juin 2019
- mai 2019
- mars 2019
- décembre 2018
- septembre 2018
- juillet 2018
- juin 2018
- avril 2018
- mars 2018
- janvier 2018
- novembre 2017
- septembre 2017
- juillet 2017
- juin 2017
- mai 2017
- avril 2017
- mars 2017
- janvier 2017
- décembre 2016
- novembre 2016
- septembre 2016
- juillet 2016
- mai 2016
- février 2016