σχόλιο ID-ont: Το Αμερικανικό Χρηματοπιστωτικό Ίδρυμα PenFed έχει περίπου 1 εκ. πελάτες. Αυτοί είναι στρατιωτικοί της Πολεμικής Αεροπορίας, του στρατού Ξηράς, του Λιμενικού, του Υπουργείου Εθνικής Ασφάλειας, του Υπουργείου Άμυνας, εταιρειών που σχετίζονται με το Υπουργείο Άμυνας, καθώς και βετεράνοι των πολέμων που συμμετείχε η Αμερική. (Pentagon Federal Credit Union serves over 999,658 members in the Air Force, Army, Coast Guard, Department of Homeland Security, Department of Defense, defense-related companies, and the Veterans of Foreign Wars.).
Επίσης στην ιστοσελίδα της PenFed βλέπουμε πόσο μεγάλη βαρύτητα είχε δείξει στο θέμα της ασφάλειας των δεδομένων των πελατών της. Δείτε σχετικές προτροπές της προς τους πελάτες της στο κάτω τμήμα της ιστοσελίδας της: https://www.penfed.org/index.asp.
Παρόλα αυτά δεν μπόρεσε να αποφύγει την διαρροή των προσωπικών δεδομένων των πελατών της μετά από κακόβουλη επίθεση hackers. Φυσικά και σε αυτή την περίπτωση- όπως και σε δεκάδες άλλες - το κατωτέρω δημοσίευμα μας πληροφορεί ότι ποτέ δεν ανακοινώνεται η ακριβής έκταση της διαρροής. Επίσης πάρα πολλές διαρροές δεν ανακοινώνονται καν.
Σήμερα ήταν η σειρά της PenFed στην Αμερική, πριν λίγες ημέρες ήταν η VODAFONE Αυστραλίας, αύριο θα είναι η σειρά των (ανεξάρτητων στην αρχή, αλλά διασυνδεδεμένων στη συνέχεια) Βάσεων Δεδομένων της Ηλεκτρονικής Διακυβέρνησης και της Κάρτας του Πολίτη;
Στην διαβούλευση για την Ηλεκτρονική Διακυβέρνηση που είναι σε εξέλιξη μέχρι την 30/1/2011 αναφέρεται ότι αυτή θα λειτουργεί: "Πάντοτε, με αδιαπραγμάτευτη τη διασφάλιση της προστασίας των δικαιωμάτων των πολιτών-χρηστών των υπηρεσιών Ηλεκτρονικής Διακυβέρνησης, καθώς και με πλήρη σεβασμό του δικαιώματος προστασίας της ιδιωτικότητας και των προσωπικών τους δεδομένων".
Όσο αγαθές και να είναι οι προθέσεις, υπάρχει ένας ειδικός της Πληροφορικής που να πιστεύει ότι το ανωτέρω μπορεί να υλοποιηθεί; Αφού ότι είναι "ασφαλές" σήμερα, είναι ... μη ασφαλές αύριο !!!
ΔΙΑΒΑΣΤΕ ΤΟ ΣΧΕΤΙΚΟ ΔΗΜΟΣΙΕΥΜΑ:
Παραβιασμένοι φορητοί Η/Υ αναγκάζουν τις Τράπεζες να προειδοποιήσουν για διαρροές προσωπικών δεδομένων.
Robert McMillan Robert McMillan - Τετ Ιαν 12, 15:50 μ.μ. ET
Οι πρόσφατες παραβιάσεις δεδομένων σε δύο τράπεζες επισημαίνουν ποιο τείνει να γίνει τεράστιο (gnarly) πρόβλημα για τις εταιρείες που χειρίζονται ευαίσθητα δεδομένα προσωπικά δεδομένα: Πότε ένας παραβιασμένος (hacked) Η/Υ μετατρέπεται σε πρόβλημα διαρροής δεδομένων (data breach);
Η Sovereign Bank εντόπισε το πρόβλημά της στις 15 Οκτωβρίου, όταν το προσωπικό της ανακάλυψε έναν υπολογιστή συνδεδεμένο στο δίκτυο της μια ασυνήθιστη διεύθυνση IP. Στο πλαίσιο της έρευνας που διενήργησαν, βρήκαν ένα πρόγραμμα keylogger σε έναν φορητό υπολογιστή της εταιρείας. Η Τράπεζα δεν αποκαλύπτει πολλές λεπτομέρειες σχετικά με το περιστατικό, αλλά το Δεκέμβριο ειδοποίησε 50 πελάτες της σε εθνικό επίπεδο για το γεγονός ότι τα δεδομένα τους μπορεί να έχουν παραβιαστεί.
Σχετικά με την Pentagon Federal Credit Union (PenFed), μια τράπεζα που έχει σχεδόν 1 εκατομμύριο πελάτες υπαλλήλους της Αμερικανής Κυβέρνησης, ένας παραβιασμένος φορητός Η/Υ οδήγησε σε ένα μεγαλύτερο πρόβλημα. Στις 12 Δεκεμβρίου, η εταιρεία διαπίστωσε ότι κάποιος είχε παραβιάσει ένα φορητό υπολογιστή στο δίκτυό της και τον χρησιμοποίησε για να αποκτήσει πρόσβαση σε μια βάση δεδομένων της εταιρείας που περιείχε τους αριθμούς πιστωτικών καρτών, διευθύνσεις, αριθμούς κοινωνικής ασφάλισης και άλλες ευαίσθητες πληροφορίες. Εκπρόσωπος της PenFed δεν αποκάλυψε πόσοι πελάτες επηρεάστηκαν, αλλά η εταιρεία έχει επανεκδώσει 514 πιστωτικές κάρτες μόνο στο New Hampshire.
Και τα δύο γεγονότα υπογραμμίζουν πόσο εύκολα ένας παραβιασμένος φορητός υπολογιστής μπορεί να χρησιμοποιηθεί για να αποκτηθεί πρόσβαση σε ευαίσθητες πληροφορίες, ένα θέμα που γίνεται όλο και μεγαλύτερο πρόβλημα για τα τμήματα πληροφορικής των εταιριών. Οι εγκληματίες συνεχίζουν να "προσεγγίζουν" τους εργαζόμενους με κακόβουλα e-mail αλλά και συνδέσμους σε drive-by-download ιστοσελίδες, οι δύο πιο δημοφιλείς τεχνικές hacking για να μπορέσουν να εγκαταστήσουν το κακόβουλο λογισμικό σε έναν υπολογιστή. Οι εγκληματίες δημιουργούν drive-by-download δικτυακούς τόπους για να εγκαταστήσουν κακόβουλο λογισμικό στους υπολογιστές των θυμάτων. Συνήθως εκμεταλλεύονται γνωστά ελαττώματα των υπολογιστών για να εγκαταστήσουν το κακόβουλο λογισμικό τους.
Σύμφωνα με τους ειδικούς, η απόφαση της Sovereign να διερευνήσει πρώτα την κατάσταση και, στη συνέχεια, να ειδοποιήσει τους πελάτες της, είναι μάλλον πιο προσεκτική από άλλες μεθόδους.
Το πρόβλημα είναι ότι συχνά δεν ξεκαθαρίζεται κατά πόσον οι hackers ήταν σε θέση να έχουν πρόσβαση σε ευαίσθητα προσωπικά δεδομένα.
Σε ορισμένες εταιρείες - ιδίως στις μικρότερες εταιρείες και στις λιγότερο οργανωμένες βιομηχανίες – το προσωπικό του τμήματος πληροφορικής που χειρίζεται έναν παραβιασμένο υπολογιστή, μπορεί απλά να διαγράψει το σύστημα του ΗΎ και στην συνέχεια να το επανεγκαταστήσει εκ νέου από το μηδέν, αγνοώντας τις οποιεσδήποτε κανονιστικές υποχρεώσεις. Χρειάζεται προσεκτική εξέταση, για να έχει έστω μια πιθανότητα να βρει πότε το κακόβουλο λογισμικό εγκαταστάθηκε, αλλά και εάν έχει χρησιμοποιηθεί για την πρόσβαση σε ευαίσθητα δεδομένα. Αλλά ακόμη και αν υπάρχει μια εξονυχιστική εξέταση, πάλι το εάν είχαν οι εγκληματίες πρόσβαση στα δεδομένα μπορεί να είναι απλά μια εικασία. «Δεν υπάρχει καμία σωστή απάντηση», δήλωσε ο Alan Cox, κύριος ερευνητής της εταιρίας παρακολούθησης δικτύων Netwitness. «Συνήθως διεκπεραιώνονται ως ανεξάρτητα περιστατικά.»
Αλλά ακόμη παρόλο που οι εταιρείες εργάζονται σκληρά για αντιμετωπίσουν αυτού του είδους την πειρατεία, το πρόβλημα αυξάνεται. Τα Keyloggers γίνονται ένα κοινό πρόβλημα σε οποιοδήποτε τύπο επιχείρησης, συμπεριλαμβανομένων των τραπεζών, είπε ο Cox. «Είναι ένας από τα κορυφαίους τρόπους που οι εγκληματίες του κυβερνοχώρου ... τείνουν να λειτουργούν», είπε. «Μπορείτε να πάρετε τόσες πολλές πληροφορίες.»
Συνήθως, οι δικηγόροι αποφασίζουν αν πρέπει να ενημερωθούν οι πελάτες. Και αυτό εξαρτάται από πολλά πράγματα: το ρυθμιστικό περιβάλλον στο οποίο λειτουργούν, το μέγεθος της εταιρείας καθώς και την εταιρική κουλτούρα.
Συχνά, η απόφαση μπορεί να είναι μια σκληρή απόφαση για τους δικηγόρους. Κοστίζει πολλά χρήματα για να στείλουν επιστολές ενημέρωσης και να παράσχουν πιστωτική προστασία μετά από μια παραβίαση. Όμως, εάν η ανταπόκριση της εταιρείας δεν είναι αρκετά ισχυρή, τότε η δημόσια εικόνα της μπορεί να υποστεί ζημιά. Μπορεί να επιβληθούν μεγάλα πρόστιμα. Πέρυσι, το Γραφείο του Γενικού Εισαγγελέα της Πολιτείας του Κονέκτικατ επέβαλε πρόστιμο 250.000 δαλλαρίων στην εταιρία ιατρικών υπηρεσιών ασφάλισης υγείας Net, εν μέρει, επειδή η εταιρεία δεν ανταποκρίθηκε σωστά σε μια παραβίαση των δεδομένων της τον Μάιος 2009.
«Υπάρχουν πολλές παραβιάσεις που δεν αναφέρονται», δήλωσε ο Doug Pollack, υπεύθυνος μάρκετινγκ της εταιρείας ID Experts, από το Portland του Oregon, μια εταιρεία που ειδικεύεται στη βοήθεια εκκαθάρισης τέτοιων παραβιάσεων δεδομένων. «Οι παραβιάσεις που πραγματικά δημοσιεύονται, είναι κυριολεκτικά μόνο η κορυφή του παγόβουνου, σε σχέση με αυτές που λαμβάνουν χώρα.»
Ο Robert McMillan καλύπτει τα θέματα ασφάλειας των Η/Υ και γενικά θέματα σχετικά μ τη νέα πρωτοποριακή τεχνολογία για το IDG News Service. robert_mcmillan@idg.com
http://www.pcworld.com/article/216576/hacked_laptops_lead_banks_to_warn_of_data_breaches.html
Επίσης στην ιστοσελίδα της PenFed βλέπουμε πόσο μεγάλη βαρύτητα είχε δείξει στο θέμα της ασφάλειας των δεδομένων των πελατών της. Δείτε σχετικές προτροπές της προς τους πελάτες της στο κάτω τμήμα της ιστοσελίδας της: https://www.penfed.org/index.asp.
Παρόλα αυτά δεν μπόρεσε να αποφύγει την διαρροή των προσωπικών δεδομένων των πελατών της μετά από κακόβουλη επίθεση hackers. Φυσικά και σε αυτή την περίπτωση- όπως και σε δεκάδες άλλες - το κατωτέρω δημοσίευμα μας πληροφορεί ότι ποτέ δεν ανακοινώνεται η ακριβής έκταση της διαρροής. Επίσης πάρα πολλές διαρροές δεν ανακοινώνονται καν.
Σήμερα ήταν η σειρά της PenFed στην Αμερική, πριν λίγες ημέρες ήταν η VODAFONE Αυστραλίας, αύριο θα είναι η σειρά των (ανεξάρτητων στην αρχή, αλλά διασυνδεδεμένων στη συνέχεια) Βάσεων Δεδομένων της Ηλεκτρονικής Διακυβέρνησης και της Κάρτας του Πολίτη;
Στην διαβούλευση για την Ηλεκτρονική Διακυβέρνηση που είναι σε εξέλιξη μέχρι την 30/1/2011 αναφέρεται ότι αυτή θα λειτουργεί: "Πάντοτε, με αδιαπραγμάτευτη τη διασφάλιση της προστασίας των δικαιωμάτων των πολιτών-χρηστών των υπηρεσιών Ηλεκτρονικής Διακυβέρνησης, καθώς και με πλήρη σεβασμό του δικαιώματος προστασίας της ιδιωτικότητας και των προσωπικών τους δεδομένων".
Όσο αγαθές και να είναι οι προθέσεις, υπάρχει ένας ειδικός της Πληροφορικής που να πιστεύει ότι το ανωτέρω μπορεί να υλοποιηθεί; Αφού ότι είναι "ασφαλές" σήμερα, είναι ... μη ασφαλές αύριο !!!
ΔΙΑΒΑΣΤΕ ΤΟ ΣΧΕΤΙΚΟ ΔΗΜΟΣΙΕΥΜΑ:
Παραβιασμένοι φορητοί Η/Υ αναγκάζουν τις Τράπεζες να προειδοποιήσουν για διαρροές προσωπικών δεδομένων.
Robert McMillan Robert McMillan - Τετ Ιαν 12, 15:50 μ.μ. ET
Οι πρόσφατες παραβιάσεις δεδομένων σε δύο τράπεζες επισημαίνουν ποιο τείνει να γίνει τεράστιο (gnarly) πρόβλημα για τις εταιρείες που χειρίζονται ευαίσθητα δεδομένα προσωπικά δεδομένα: Πότε ένας παραβιασμένος (hacked) Η/Υ μετατρέπεται σε πρόβλημα διαρροής δεδομένων (data breach);
Η Sovereign Bank εντόπισε το πρόβλημά της στις 15 Οκτωβρίου, όταν το προσωπικό της ανακάλυψε έναν υπολογιστή συνδεδεμένο στο δίκτυο της μια ασυνήθιστη διεύθυνση IP. Στο πλαίσιο της έρευνας που διενήργησαν, βρήκαν ένα πρόγραμμα keylogger σε έναν φορητό υπολογιστή της εταιρείας. Η Τράπεζα δεν αποκαλύπτει πολλές λεπτομέρειες σχετικά με το περιστατικό, αλλά το Δεκέμβριο ειδοποίησε 50 πελάτες της σε εθνικό επίπεδο για το γεγονός ότι τα δεδομένα τους μπορεί να έχουν παραβιαστεί.
Σχετικά με την Pentagon Federal Credit Union (PenFed), μια τράπεζα που έχει σχεδόν 1 εκατομμύριο πελάτες υπαλλήλους της Αμερικανής Κυβέρνησης, ένας παραβιασμένος φορητός Η/Υ οδήγησε σε ένα μεγαλύτερο πρόβλημα. Στις 12 Δεκεμβρίου, η εταιρεία διαπίστωσε ότι κάποιος είχε παραβιάσει ένα φορητό υπολογιστή στο δίκτυό της και τον χρησιμοποίησε για να αποκτήσει πρόσβαση σε μια βάση δεδομένων της εταιρείας που περιείχε τους αριθμούς πιστωτικών καρτών, διευθύνσεις, αριθμούς κοινωνικής ασφάλισης και άλλες ευαίσθητες πληροφορίες. Εκπρόσωπος της PenFed δεν αποκάλυψε πόσοι πελάτες επηρεάστηκαν, αλλά η εταιρεία έχει επανεκδώσει 514 πιστωτικές κάρτες μόνο στο New Hampshire.
Και τα δύο γεγονότα υπογραμμίζουν πόσο εύκολα ένας παραβιασμένος φορητός υπολογιστής μπορεί να χρησιμοποιηθεί για να αποκτηθεί πρόσβαση σε ευαίσθητες πληροφορίες, ένα θέμα που γίνεται όλο και μεγαλύτερο πρόβλημα για τα τμήματα πληροφορικής των εταιριών. Οι εγκληματίες συνεχίζουν να "προσεγγίζουν" τους εργαζόμενους με κακόβουλα e-mail αλλά και συνδέσμους σε drive-by-download ιστοσελίδες, οι δύο πιο δημοφιλείς τεχνικές hacking για να μπορέσουν να εγκαταστήσουν το κακόβουλο λογισμικό σε έναν υπολογιστή. Οι εγκληματίες δημιουργούν drive-by-download δικτυακούς τόπους για να εγκαταστήσουν κακόβουλο λογισμικό στους υπολογιστές των θυμάτων. Συνήθως εκμεταλλεύονται γνωστά ελαττώματα των υπολογιστών για να εγκαταστήσουν το κακόβουλο λογισμικό τους.
Σύμφωνα με τους ειδικούς, η απόφαση της Sovereign να διερευνήσει πρώτα την κατάσταση και, στη συνέχεια, να ειδοποιήσει τους πελάτες της, είναι μάλλον πιο προσεκτική από άλλες μεθόδους.
Το πρόβλημα είναι ότι συχνά δεν ξεκαθαρίζεται κατά πόσον οι hackers ήταν σε θέση να έχουν πρόσβαση σε ευαίσθητα προσωπικά δεδομένα.
Σε ορισμένες εταιρείες - ιδίως στις μικρότερες εταιρείες και στις λιγότερο οργανωμένες βιομηχανίες – το προσωπικό του τμήματος πληροφορικής που χειρίζεται έναν παραβιασμένο υπολογιστή, μπορεί απλά να διαγράψει το σύστημα του ΗΎ και στην συνέχεια να το επανεγκαταστήσει εκ νέου από το μηδέν, αγνοώντας τις οποιεσδήποτε κανονιστικές υποχρεώσεις. Χρειάζεται προσεκτική εξέταση, για να έχει έστω μια πιθανότητα να βρει πότε το κακόβουλο λογισμικό εγκαταστάθηκε, αλλά και εάν έχει χρησιμοποιηθεί για την πρόσβαση σε ευαίσθητα δεδομένα. Αλλά ακόμη και αν υπάρχει μια εξονυχιστική εξέταση, πάλι το εάν είχαν οι εγκληματίες πρόσβαση στα δεδομένα μπορεί να είναι απλά μια εικασία. «Δεν υπάρχει καμία σωστή απάντηση», δήλωσε ο Alan Cox, κύριος ερευνητής της εταιρίας παρακολούθησης δικτύων Netwitness. «Συνήθως διεκπεραιώνονται ως ανεξάρτητα περιστατικά.»
Αλλά ακόμη παρόλο που οι εταιρείες εργάζονται σκληρά για αντιμετωπίσουν αυτού του είδους την πειρατεία, το πρόβλημα αυξάνεται. Τα Keyloggers γίνονται ένα κοινό πρόβλημα σε οποιοδήποτε τύπο επιχείρησης, συμπεριλαμβανομένων των τραπεζών, είπε ο Cox. «Είναι ένας από τα κορυφαίους τρόπους που οι εγκληματίες του κυβερνοχώρου ... τείνουν να λειτουργούν», είπε. «Μπορείτε να πάρετε τόσες πολλές πληροφορίες.»
Συνήθως, οι δικηγόροι αποφασίζουν αν πρέπει να ενημερωθούν οι πελάτες. Και αυτό εξαρτάται από πολλά πράγματα: το ρυθμιστικό περιβάλλον στο οποίο λειτουργούν, το μέγεθος της εταιρείας καθώς και την εταιρική κουλτούρα.
Συχνά, η απόφαση μπορεί να είναι μια σκληρή απόφαση για τους δικηγόρους. Κοστίζει πολλά χρήματα για να στείλουν επιστολές ενημέρωσης και να παράσχουν πιστωτική προστασία μετά από μια παραβίαση. Όμως, εάν η ανταπόκριση της εταιρείας δεν είναι αρκετά ισχυρή, τότε η δημόσια εικόνα της μπορεί να υποστεί ζημιά. Μπορεί να επιβληθούν μεγάλα πρόστιμα. Πέρυσι, το Γραφείο του Γενικού Εισαγγελέα της Πολιτείας του Κονέκτικατ επέβαλε πρόστιμο 250.000 δαλλαρίων στην εταιρία ιατρικών υπηρεσιών ασφάλισης υγείας Net, εν μέρει, επειδή η εταιρεία δεν ανταποκρίθηκε σωστά σε μια παραβίαση των δεδομένων της τον Μάιος 2009.
«Υπάρχουν πολλές παραβιάσεις που δεν αναφέρονται», δήλωσε ο Doug Pollack, υπεύθυνος μάρκετινγκ της εταιρείας ID Experts, από το Portland του Oregon, μια εταιρεία που ειδικεύεται στη βοήθεια εκκαθάρισης τέτοιων παραβιάσεων δεδομένων. «Οι παραβιάσεις που πραγματικά δημοσιεύονται, είναι κυριολεκτικά μόνο η κορυφή του παγόβουνου, σε σχέση με αυτές που λαμβάνουν χώρα.»
Ο Robert McMillan καλύπτει τα θέματα ασφάλειας των Η/Υ και γενικά θέματα σχετικά μ τη νέα πρωτοποριακή τεχνολογία για το IDG News Service. robert_mcmillan@idg.com
http://www.pcworld.com/article/216576/hacked_laptops_lead_banks_to_warn_of_data_breaches.html
0 σχόλια:
Δημοσίευση σχολίου