Bresele de securitate in Romania – Iata ce avem de invatat din aceste cazuri, astfel incat sa nu cadem victime noi insine
Bresele de securitate sunt in momentul de fata o realitate cotidiana. In presa apar tot mai multe articole cu companii din diverse domenii de activitate care au suferit brese de securitate si care, se pare ca au probleme grave in ceea ce priveste siguranta datelor, carentele privind siguranta datelor fiind descoperite intamplator fie de specialisti in domeniu fie de simpli utilizatori.
Analizand stirile recent publicate, am identificat cateva exemple de companii care reprezinta mari jucatori pe segmententul lor de activitate dar care, se pare ca nu au acordat prea mare importanta acestui aspect privind protectia datelor cu caracter personal.
Un prim exemplu este acela al unei companii din domeniul taximetriei care a suferit o bresa de securitate dezvaluind inregistrarile convorbirilor purtate de clientii sai cu operatorii din dispeceratul firmei. Aceste apeluri contineau date ale clientilor precum: numele, prenumele, adresa, destinatia. Totodata, pe site-ul firmei respective, conform politicii de confidentialitate publicate, acestia afirma ca apelurile sunt inregistrare dupa ce, in prealabil, a fost obtinut acordul clientului. In realitate insa, in momentul apelarii numarului de dispecerat exista un mesaj care anunta faptul ca toate apelurile sunt inregistrate.
DE STIUT!! Reguli de buna practica:
Masurile pe care le consideram potrivite pentru cazul de fata sunt urmatoarele:
* restrictionarea accesului la inregistrarile respective prin parolarea fisierelor
Imbunatatiri considerabile trebuie aduse si site-ului, astfel incat acesta sa nu mai permita accesarea facila a acestor fisiere prin intermediul sau.
Un alt exemplu este acela al unei firme de curierat, din topul celor mai renumite din Romania, care a cazut victima unui specialist in domeniul IT care, fara prea mult efort, a descoperit faptul ca la o simpla accesare a platformei oferite clientilor pentru a facilita furnizarea serviciilor, prin cateva actiuni nu foarte complexe, aceasta permite descarcarea tuturor AWB-urilor care contineau date ale clientilor (nume, prenume, adresa, detalii comanda, continut comanda, adresa de livrare, costul livrarii si a produselor comandate chiar si CNP-ul clientilor).
Reprezentantii firmei de curierat au avut o reactie destul de acida si au considerat ca aceasta bresa este de fapt un atac cibernetic premeditat si rau intentionat, menit sa afecteze imaginea companiei. Acestia sustin ca, de fapt, s-a asigurat confidentialitatea datelor si ca exploatarea unei functii a platformei a dus la descoperirea unui numar limitat de date si pentru o perioada scurta de timp, ceea ce, din punctul lor de vedere, nu denota faptul ca nu au implementat masurile de siguranta adecvate ci ca au fost victime ale unui atac tintit.
Totusi, ca regula de buna practica, acestia trebuie sa se asigure ca astfel de atacuri nu vor mai avea loc pe viitor sau ca o alta incercare nu va mai avea succes. Pentru acest lucru recomandam urmatoarele:
* sa cripteze datele. In cazul unui alt atac, criptarea asigura faptul ca atacatorul nu vede datele cuprinse in AWB.
* sa imbunatateasca masurile de siguranta astfel incat sa nu existe posibilitatea ca un nou atac sa identifice alte puncte vulnerabile ale platformei
* sa faca teste permanent. Aceasta disfunctionalitate putea fi identificata in urma efectuarii unor teste de catre responsabilii de proces.