Bạn có thể nghĩ rằng các đội bảo mật bên trong các công ty lớn ghét điều đó khi các nhà nghiên cứu và báo chí chỉ ra các lỗ hổng, nhưng không phải lúc nào cũng vậy.
Các nhóm bảo mật chỉ là một tiếng nói trong số rất nhiều người, và họ thường gặp khó khăn khi thuyết phục các ông chủ rằng bảo mật và quyền riêng tư nên được ưu tiên. Một câu chuyện đáng xấu hổ trên báo chí có thể thay đổi điều đó nhanh chóng.
Ví dụ: Nhà nghiên cứu bảo mật Troy Hunt đã từng gọi Betfair Security cho một hệ thống cho phép bất kỳ ai biết ngày sinh của người dùng có thể thay đổi mật khẩu của họ. Một tháng sau, Hunt gặp một nhân viên từ công ty đó, anh ấy đã viết trên blog cá nhân của mình:
… Một người đàn ông đến và đưa cho tôi thẻ của anh ta – “Betfair Security”. Chết tiệt. Nhưng sự do dự nhanh chóng trôi qua khi anh ấy tiến tới cảm ơn tôi vì đã đưa tin. Bạn thấy đấy, họ biết quá trình này thật tệ hại — bất kỳ người hợp lý nào có nửa ý tưởng về bảo mật đều làm — nhưng chỉ riêng nhóm bảo mật nội bộ nói với ban quản lý rằng điều này không hay ho là không đủ để thúc đẩy thay đổi. Tuy nhiên, các phương tiện truyền thông đưa tin tiêu cực là điều mà ban quản lý thực sự lắng nghe.
Tất cả chúng ta đều biết các nhóm nhỏ có thể khó thúc đẩy chương trình làm việc của họ ở các công ty lớn như thế nào, vì vậy có một logic nhất định ở đây. Nhưng tôi ước các công ty sẽ lắng nghe các nhóm bảo mật nội bộ và các nhà nghiên cứu bên ngoài, trước vấn đề trở nên đại chúng. Đó thường là sự cố liên lạc trong các công ty, nhưng việc khắc phục sự cố này có thể ngăn chặn rất nhiều báo chí xấu — và giữ cho tất cả chúng ta an toàn hơn.
Tín dụng hình ảnh: Virgiliu Obada / Shutterstock.com
