这是太多信任的大问题

2021-10-12 08:11:15 来源：

零信任是网络安全中的一个流行概念。它最初指的是企业安全团队，他们构建的流程消除了最终用户的所有信任。

这是一种有效的方法。例如，我喜欢经营那些不介意员工点击错误链接的公司。我们知道这是不可能避免的，所以我们为不可避免的事情做好了准备 -- 并且零信任我们的员工会有完美的行为。

但是，当 “信任气球” 被挤压以消除最终用户的信任时，它会走向何方？有两个可能的接受者: 企业安全组织和企业购买的软件。

鉴于安全组织普遍人手不足，不堪重负，市场力量已经介入，再次挤压信任气球。信任已从最终用户中消除，并由人手不足的企业安全组织委托给大型服务提供商和软件公司。我们相信大型科技公司 -- 谷歌、Facebook、亚马逊、微软、Slack和Zoom -- 能够成为我们最关键数据的管理者。我们已经信任了一个建立在速度和风险接受度之上的行业，除了市场力量之外没有其他责任。

转变信任模型出错的地方

虽然用你的数据信任大型科技公司似乎是一个合理的解决方案，但你首先需要弄清楚一件事-这些公司主要对增加市场份额感兴趣，而不是安全性感兴趣。例如，Zappos可以进行某种程度的欺诈，Microsoft团队可以偶尔执行远程代码，而SolarWinds如果不关注其软件构建过程，则利润更高。在这些情况下。数据安全和隐私与盈利能力和估值脱钩。低质量和高风险是追求高估值和创造高管财富的可接受结果。

但是司法部不能在类似的风险模型中运作。俄罗斯不受限制地访问美国司法部的电子邮件是不行的，人事管理办公室也不能接受偶尔让中国情报机构访问2200万政府雇员的人事档案的违规行为。很明显，使用易受攻击的软件并不支持我们的国家安全利益。然而，国家安全机构依赖于将盈利能力和估值放在首位的技术。

市场力量对安全的影响

市场力量已经决定，快速行动和打破事物的心态是实现最高市场份额和估值的最可靠方法。对于一位科技首席执行官来说，获得亿万富翁身份的最长途径是开发安全、精心设计的产品。我们不断变化的信任模型将数据安全的责任置于决策者的脚下，而构建安全软件的动力却最小。

我并不是说世界上最大的软件公司的亿万富翁首席执行官自然倾向于滥用隐私和数据-相反，他们是出于利润动机的天才，他们自然倾向于在给予他们的监管泳道内竞争和取胜。

责任的重要性

克林顿政府1996年《电信法》为美国技术行业提供了摆脱监狱的免费卡。结果，硅谷占据了主导地位-创新发展并留在了美国，快速发展，打破事物是正确的方法。没有认证，没有许可，没有安全或隐私问题的后果。现在是时候检查责任，让首席财务官和首席执行官们陷入狡猾的工程困境了。

2013年，HTC运送了1800万易受攻击的移动设备，并被联邦贸易委员会 (FTC) 罚款。2019年，谷歌因侵犯隐私而被欧盟处以创纪录的5700万美元罚款，同年，Facebook因侵犯隐私而被处以创纪录的5B美元罚款。就在去年12月，联邦贸易委员会成员诺亚·菲利普斯 (Noah phillips) 向参议院商业、科学和运输委员会作证说，联邦贸易委员会针对Facebook、TikTok、YouTube、Zoom的消费者隐私执法行动，其他公司已经产生了 “比世界上任何其他公司都更大的影响”。外行人可以将其视为进步和方向正确。

可悲的现实是，这些罚款是如此微不足道，以至于它们实际上助长了鲁莽。谷歌每天从广告中产生近3.7亿美元。一个 “创纪录的” 57美元的罚款并不是一个减速带 -- 它是一个打击天然气的邀请。市场力量比以往任何时候都向科技行业发出信号，忽视安全是他们最有利可图的策略。输入安全漏洞和漏洞2020年的conga行。

这只是过去一年安全事件的一个样本，这些事件最能代表影响大型企业和国家安全的设计不良的软件:

微软，1月22日

沃尔格林，3月2日

T-Mobile，3月5日

未具名的英国安全公司，3月19日

3月24日通用电气

缩放，4月14日

脸书，4月21日

小型企业管理，4月27日

GoDaddy，5月4日

美国元帅，5月13日

认知，6月17日