Yahoo годами ставила удобство использования выше кибербезопасности

Масштабная утечка данных Yahoo, в результате которой были скомпрометированы 500 миллионов учетных записей пользователей, поставил под угрозу запланированное приобретение Verizon, произошло потому, что компания постоянно ставить удобство использования продукта выше безопасности, New York Times отчеты:

Шесть лет назад компьютерные системы Yahoo и учетные записи электронной почты клиентов были взломаны китайскими военными хакерами. Google и ряд других технологических компаний также пострадали.

Соучредитель Google Сергей Брин расценил атаку на системы своей компании как личное оскорбление и ответил, сделав безопасность главным корпоративным приоритетом. Google нанял сотни инженеров по безопасности с шестизначными подписными бонусами, инвестировал сотни миллионов долларов в инфраструктуру безопасности и принял новый внутренний девиз «Никогда больше», чтобы дать понять, что он больше никогда не позволит никому — будь то шпионы или преступники — взламывать учетные записи клиентов Google.

С другой стороны, Yahoo не спешила инвестировать в те виды защиты, которые необходимы для противодействия изощренным хакерам, которые теперь считаются стандартными в Кремниевой долине, по словам полудюжины нынешних и бывших сотрудников компании, которые участвовали в обсуждениях по вопросам безопасности, но согласились рассказать о них только на условиях анонимности.

The раз Далее описывается, как генеральный директор Марисса Майер, приняв на себя управление проблемной поисковой системой в 2012 году, решила сосредоточить усилия Yahoo на разработке новых продуктов и создании лучшего пользовательского опыта для существующих продуктов, таких как Yahoo Mail. Хотя Майер была осведомлена о многочисленных проблемах информационной безопасности, они отошли на второй план. Сотрудники внутренней безопасности Yahoo, включая бывшего директора по информационной безопасности Алекса Стамоса, предупреждали Майер об уязвимостях безопасности, но обнаружили, что их усилия были сведены на нет из-за «опасений, что неудобства дополнительной защиты заставят людей отказаться от использования продуктов компании». Майер урезала бюджет команды и отказалась одобрить проактивные инициативы по кибербезопасности, на которых настаивала Стамос, включая сквозное шифрование, механизмы обнаружения вторжений и автоматический сброс паролей для скомпрометированных учетных записей. Даже сейчас Майер продолжает отказываться от автоматического сброса паролей для учетных записей, скомпрометированных во время этой последней утечки, — опять же, все это во имя того, чтобы не доставлять неудобств пользователям.

Кибербезопасность против пользовательского опыта

Для технологических компаний характерно беспокойство о том, как меры информационной безопасности повлияют на пользовательский опыт. Часто разработчикам приходится жертвовать скоростью и простотой использования ради более безопасного продукта, и, в то время как большинство американцев заявляют, что крайне обеспокоены утечками данных, Непостоянные клиенты могут сопротивляться или разочаровываться в мерах безопасности. Недавнее исследование показало, что Треть американцев практикуют рискованное поведение запоминать сетевые пароли и этнографическое исследование работников здравоохранения выявили повсеместное и вопиющее несоблюдение правил кибербезопасности в больничных условиях.

Хотя эти опасения обоснованы, ответ заключается не в том, чтобы просто выпускать незащищенные продукты и надеяться на лучшее, как, по-видимому, сделала Yahoo. Бремя защиты данных клиентов лежит не только на разработчиках программного обеспечения и компаниях по хранению данных, и не может этого делать. Подавляющее большинство утечек данных происходит не в результате внешнего взлома, а потому, что хакеры получают законные учетные данные для входа, обычно с помощью схем социальной инженерии, таких как фишинг. Производители должны встраивать в свои продукты упреждающие меры безопасности, такие как многофакторная аутентификация, и приучать своих клиентов к их использованию, даже если эти функции неудобны или раздражают. Стоимость утечки данных намного выше, чем стоимость разочарования клиентов, как для взломанной компании, так и для скомпрометированных клиентов.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Мы предлагаем комплексные услуги по оценке рисков и программное обеспечение Continuum GRC для защиты компаний от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Позвоните по номеру 1-888-896-7580, чтобы обсудить потребности вашей организации в кибербезопасности и узнать, как мы можем помочь защитить ваши системы.