Nowa, ponadnarodowa agencja.

Lipiec 8th, 2011 by mateusz (0) Instytucje Bezpieczeństwa

Ostatnie miesiące przyniosły dość sporo zmian, jeżeli chodzi o zaufanie do niektórych dostawców usług w internecie (PlayStation Network), ataki na pewne instytucje rządowe etc. Anonymous i LulzSec to dwie grupy, które bardzo mocno naraziły się administratorom bezpieczeństwa i sprawiły, że zupełnie inaczej patrzymy na to, co może się stać z naszymi danymi.

Stąd pomysł zawiązania międzynarodowej grupy, właściwie to organizacji pozarządowej, która połączy działania różnych instytucji – śledczych np. EuroPolu, rządów, a także firm specjalizujących się w dziedzinie bezpieczeństwa. Jej rola to przede wszystkim wymiana informacji między zaangażowanymi podmiotami.

Z dniem 5 lipca organizacja International Cyber Security Protection Alliance została oficjalnie założona w Londynie. Teraz czekamy na rezultaty.

Z jednej strony mamy romantyczny obraz hakera, który sprzeciwia się establishmentowi, z drugiej strony konglomerat korporacji, rządów zachodnich Państw i ponadnarodowych służb bezpieczeństwa. LulzSec na facebook.com ma ponad 11 000 fanów, EuroPol – niewiele ponad 300.

Ważne tylko, żeby nasze własne dane były bezpieczne.

Co administrator danych wie o bezpieczeństwie

Maj 21st, 2011 by mateusz (0) Bezpieczeństwo IT

Ostatnio opublikowane studium pokazuje, że administratorzy baz danych nie do końca rozumieją o co chodzi w zarządzaniu bezpieczeństwem. Sami przyznają, że ich wiedza w tym obszarze jest dość ograniczona. Kwestie takie jak kontrola zmian, zarządzanie aktualizacjami czy audyt bezpieczeństwa nie są im znane. Całe studium zostało oparte o badanie pośród 214 administratorów Sybase, którzy należą do International Sybase User Group.

“A majority of respondents admit that there are multiple copies of their production data, but many do not have direct control over the security of this information,” the survey report stated. “Only one out of five take proactive measures to mask or shield this data from prying eyes.”

Analityk Unisphere Research, Joe McKendrick, który jest autorem badania ISUG, zaznacza, że to tylko jedno z takich badań, które są prowadzone wśród użytkowników różnych typów baz danych, także tych, działających na konkurencyjnych platformach, takich jak SQL Server czy Oracle.

“This [ISUG survey] pretty much follows the same script [as the survey responses in the other database environments,” pisze McKendrick. “It’s very consistent — with a very common theme across all of these different user groups and technology bases — that there is a disconnect between management and security.”

Ciekawe jest to, że 50% respondentów nie uważa, że w najbliższym roku staną się ofiarą wycieku danych. Według Richa Mugulla, założyciela firmy analitycznej Securosis, nie ma w tym nic niespodziewanego.

“We still see very much a split between the database and security worlds — and not nearly the level of communication between the two of them that we’d like,” mówi Mogull.

Eksperci od bezpieczeństwa radzą instytucjom, żeby bardziej przyłożyły się do udostępniania baz danych nie tylko dla ich administratowrów, ale także specjalistów IT.

“We need to ask ourselves, ‘Where are these pieces of classified information and bank account numbers and sensitive organizational data being stored in the databases? Can we identify all the databases they’re in?’” Wyjaśnia Hutton. “And then we can figure out how to create a control structure that prevents, detects, and responds to incidents against that database.”

Eksperci wskazują też, że wiele organizacji nie potrafi efektywnie przeprowadzić audytu danych, co sprawia, że polityki bezpieczeństwa i ich kontrola naprawdę działają. McKendrick wskazuje, że jego badanie wykryło, ze 16% instytucji prowadzi comiesięczny audyt danych. Kolejne 32% nawet nie potrafi powiedzieć, kiedy są przeprowadzane takie audyty, bądź po prostu ich nie przeprowadza.

Pomieszaj, dopasuj, wyślij.

Czerwiec 13th, 2010 by mateusz (0) Kradzież danych,kradzież tożsamości,Naruszenie bezpieczeństwa

Wygląda na to, że tym teraz zajmuje się HM Revenue & Customs (odpowiednik Urzędy Skarbowego w Wielkiej Brytanii). Po nadaniu ulg podatkowych ponad 50 000 osobom, które wnioskowały o nie wnioskowali, informacje na ten temat przesłali pocztą. Komu? Wniskodawcom. Każdy z nich otrzymał całkiem sporo prywatnych informacji i powiadomienie o nadaniu ulgi, tyle, że żadna osoba nie dostała kompletu swoich dokumentów, tylko cudzych. Wysokośc rocznych zarobków, fragment numeru konta, numer ubezpeczenia i nazwiska zostały losowo przekazane wnioskodawcom. HMRC zaświadcza, że zamierza przeprosić ofiary i zapewnia, że nie wynikną z tej kwestii żadne kradzieże informacji.

Błąd, który naraził tylu ludzi na niebieczeństwo, zdarzył się gdzieś w trakcie procesu drukowania tych informacji. Oczywiście śledztwo trwa, a w międzyczasie przedstawiciele firmy zamierzaja przepraszać poszkodowanych i dostarczyć nowe informacje o przyznanych ulgach.

Ja mam nadzieję, że wszystko co się dzieje, niech tylko HMRC pozna przyczyny i poinformuje o wszystkim klientów.

Które dane w końcu wyciekły?

Styczeń 9th, 2010 by mateusz (0) Bezpieczeństwo IT,Kradzież danych,Naruszenie bezpieczeństwa

Ostatni atak w stylu DoS (Denial of Service) na serwer nie tylko pozwolił na przełamanie się przez ochronę sieci, ale także na dostęp do komputera, który zawierał nazwiska, numery identyfikatorów, a także numery telefonów 2500 obecnych i byłych pracowników. Mimo, ze takie dane, jak numery ubezpieczenia społecznego, nie były przechowywane na serwerze, był on połaczony z innymi maszynami, które zawierały prywatne dane 26000 osób i dostawców.

Na szczęście wszystkie dane uczniów znajduja się w różnych sieciach w Eugene School District, więc nikt z nich nie ucierpiał na wycieku danych. Tak jakby jednymi ofiarami byli dorośli.

Z kolei zbiór danych 26000 osób wcale nie ma tkaiej pewności. Nie ma dowodów ani na to, że dane wyciekły, ani na to, że pozostały w spokoju. Cały czas jest prowadzone śledztwo w tej kwestii, a strona internetowa szkoły opublikowała informację o wycieku. Oczywiście do tego zostąły podjęte wszelkie działania, żeby zabezpieczyć serwer, aby wszystkie informacje, które nie padły ofiarą ataku, pozostały bezpieczne.

Więcej informacji znajdziesz tutaj.

Co chcą kraść pracownicy?

Grudzień 4th, 2009 by mateusz (0) kradzież tożsamości,Naruszenie bezpieczeństwa,Zabezpieczenie przed utratą danych

Jeżeli którykolwiek z managerów zastanawia się jeszcze, czy jego pracownicy mogliby wynieść poufne dane z firmy, to odpowiedź jest prosta. Tak. I wiedzą, że jest to niezgodne z prawem. A większość firm zdaje sobie sprawę, że niebezpieczeństwo leży wewnątrz ich struktur, ale robią niewiele żeby je zażegnać. Takie wnioski wysnuło Dark Reading po porównaniu dwóch badań stworzonych przez producentów oprogramowania do ochrony.

Jedno z nich skupiło się na 600 pracownikach z działów finansowych w Nowym Yorku, USA, i Londynie. Wielu z respondentów przyznało, że często „zabierali pracę” do domu i zatrzymywali dla własnych korzyści. Podczas gdy zdecydowana więksozść wiedziała, że jest to nielegalne, częśc przyznała się, że zmieniając pracę, zabierali ze sobą informacje z poprzedniej firmy, a inni stwierdzili, że podzielili by się poufnymi informacjami z rodziną, przyjaciółmi, lub wtedy gdy pomogłoby im to w znalezieniu lepszej pracy. Niektórzy, po prostu traktowali takie dane jako swoją „polise ubezpieczeniową”.

To co najchetniej zabraliby z Twojej firmy? Na pewno list klientów i podpisanych kontrkatów, oferty, plany współpracy. Rzadziej informacje o produktach. Read more

Naruszenie bezpieczeństwa danych w BCBS pod mikroskopem.

Listopad 23rd, 2009 by mateusz (0) Bezpieczeństwo IT,bezpieczeństwo portów USB,kradzież tożsamości,Naruszenie bezpieczeństwa

BCBS (Blue Cross Blue Shield) zajmuje się ubezpieczeniami zdrowotnymi dużej części amerykańskiego społeczeństwa. Innymi słowy przechowuje dane takie jak infomacje o podatniku i numer ubezpieczenia społecznego, które wcześniej pobiera od 800000 dostarczycieli usług medycznych w całych Stanach Zjednoczonych. I wszystko jest dobrze, póki te dane są bezpieczne i wykorzystywane jedynie przez firmę ubezpieczeniową. Jednak w momencie, kiedy pojawia się naruszenie bezpieczeństwa danych w firmie, sytuacja przestaje byc przyjemna. Szczególnie, gdy instytucja nie poinformuje głównych zainteresowanych, o tym, co się stało.

Nie tylko prowadzi to do utraty dobrego wizerunku, ale też przyciąga uwagę służb porzadkowych. Wyciek danych w BCBS jest właśnie pod lupą Prokuratury Genralnej w Connecticut. Dlaczego? Prawo Stanowe dokładnie podkreśla ważność tego, aby w razie wycieku danych klientów, niezwłocznie poinformować ich o zdarzeniu. BCBS podobno tego nie zrobiło.

Cała sytuacja zadziała się w sierpniu, kiedy to laptop z poufnymi danymi został skradziony. W dniu dzisiejszym, jedynie stan Connecticut prowadzi na ten temat śledztwo, w imieniu 18 817 dostarczycieli usług medycznych na swoim terytorium. Stawką jest roczny monitoring tego, co się dzieje z bezpieczeństwem informacji w firmie i nakaz wprowadzenia dodatkowej ochorny danych.

Z drugiej strony, BCBS wyraźnie podkreśla, że zaczęli powiadamiać zainteresowanych w kilka dni po incydencie, a nie miesiąc później, tak jak informuje prokuratura. W każdym razie, wspomniany monitoring wcale im nie przeszkadza, wręcz mogliby rozszerzyć go na 2 lata – przynajmniej w jednym z oddziałów.

Czego brkauje w DuPont?

Październik 1st, 2009 by mateusz (0) Bezpieczeństwo IT,bezpieczeństwo portów USB,cyberprzestępczość,Kradzież danych

DuPont zdecydowanie powinno unikać swoich pracowników. Kolejny raz udowodnili, że ich specjalnością jestkradzież sekretów firmy i ich sprzedaż. Po poprzednim incydencie, kiedy firma straciła prawie 400 000 000 USD, zwolniony został (a także oskarżony) pracownik chińskiego pochodzenia – z powodu nieodpowiedniego obchodzenia się z tajemnicami handlowymi.Tak jak wyjaśnia portal DarkReading, DuPont odkryło, co tka naprawdę robił pracownik całkiem przypadkiem. Po prostu przegladano jego twardy dysk przed transferem do Chin (pracownika, nie dysku ). Znalzło się tam zbyt dużo plików na temat m-in. technologii OLED.

“Jako firma, która opiera się na rozwoju nowych technologii, DuPont stara się chronić swoje wyjątkowe i poufne patenty,” było napisane w oświadczeniu firmy. „Takie wydarzenia podburzają nasze dążenia do ochrony przed naruszeniem naszych praw do nauki i technologii, które przynoszą korzyści nie tylko naszym udziałowcom, ale także pracownikom, a przede wszystkim, klientom”

W takim sytuacji całkiem niezłym rozwiązaniem jest zamykanie pracowników w więzieniach i obciążanie ich wysokimi karami finansowymi. Z drugiej stronu, czy to jest naprawdę skuteczne? Ja bym raczej wybrał jakieś oprogramowanie chroniace przed kradzieżą tkaich danych

Kolejni Specjaliści opuszczają Obamę

Wrzesień 4th, 2009 by mateusz (0) Bezpieczeństwo IT,bezpieczeństwo portów USB,Naruszenie bezpieczeństwa,Ochrona sieci komputerowych

No i co z tego, że Biały Dom ma ma nowy, wspaniały plan bezpieczeństwa w sieci, skoro większość osób odpowiedzialnych za jego wprowadzenie i ugruntowanie zrezygnowało z pracy w administracji Barracka Obamy w ciągu ostatnich kilu miesięcy.

Najpierw, w marcu, Rod Beckstrom zrezygnował z funkcji dyrektora National Cybersecurity Center, wydziału w Departamencie Bezpieczeństwa Wewnętrznego. Rzeczone centrum zajmuje się koordynowaniem ochrony sieci komputerów cywilnych, wojskowych i wywiadu. Dlaczego Beckstrom zrezygnował? Otóż, w liście, który przekazał, pisze, że zbyt mały budżet którym dysponował i nieudolna kontrola ze strony National Security Agency nie pozwalały mu na rzetelne wykonywanie pracy.

Kolejną osobą, która ogłosiła swoją rezygnację była Melissa E. Hathway. Melissa była głównym dyrektorem ds. bezpieczeństwa w sieci w administracji Obamy. Miesiące opóźnienia w powłaniu osoby odpowiedzialnej za nadzorowanie bezpieczeństwa sieci krytycznych dla Stanów Zjednoczonych. The Register wskazuje, że Hathway była jednym z najlepszych kandydatów na „cara bezpieczeństwa sieci”, osoby która miałaby możliwość zabezpieczać sieci i infrastrukturę, które pracuja dla banków, szpitali i giełdy w USA.

Jako trzecia, całkiem nie dawno zrezygnowała Mischel Kwon. Szefowa wydziału wewnątrz Departamentu Bezpieczeństwa Wewnętrznego, który zajmował się zarządzaniem kryzysowym w wyjątkowych sytuacjach zagrożenia sieci. Plotka rozpowszechniona przez Washington Post mówi, że Kwon była sfrustrowana biurokratyzacją i brakiem faktycznej władzy, co powstrzymywało ją przed spełnianiem swojej pracy. Właściwie, to nie jest pozycja, którą zajmuje się długo. W ciągu ostatnich 5 lat dyrektorzy zmeiniali się 4 razy.

Mam nadzieję, że mimo tych przeszkód, plan bezpieczeństwa w sieci zostanie wprowadzony bez kolejnych rezygnacji, opóźnień etc.. Trzymam kciuki!

Jak się (nie) chronią najlepsi…

Sierpień 29th, 2009 by mateusz (0) Bezpieczeństwo IT,bezpieczeństwo portów USB,Kradzież danych,Naruszenie bezpieczeństwa,Zabezpieczenie przed utratą danych

Kiedy myślisz o instytucjach, takich jak Brytyjskie Ministerstwo Obrony, podejrzewasz pewnie, że ochrona jest tam wręcz nie do przejścia. Tak, że nie zadrzesz z nimi już drugi raz. Niestety, jak rzeczone ministerstwo podaje (V3.co.uk) w ostatnich latach, przypadki utraty danych wzrosły 4 razy. Według nieoficjalnych źródeł w 2008 i 2009 roku stało się to 8 razy, co wobec 2 w poprzednim okresie jest imponujacą liczbą. Najbardziej poważne okazało się zaginięcie przenośnego dysku twardego z posiadłości jednego z wykonawców dla ministerstwa. Były tam imiona i nazwiska, numery paszportów i dane do kont bankowych 1,7 miliona osób.

Wśród innych wypadków było zgubienie trzech pamięci USB z „bezpiecznej posiadłości rządowej”. Na nich z kolei były dane wszystkich członków personelu pomocniczego RAF, kótrzy odbywali służbę od 2002 do 2008 roku, a także ich krewnych.

Z kolei w kwietniu zeszłego roku, nieszyfrowany laptop został skradziony z budynku ministerstwa, wraz z danymi osobistymi 300 ludzi.

Ministerstwo Obrony przyznaje, że traciło urządzenia elektroniczne, pamieci przenosnie lub wydrukowane dokumenty ponad 15 razy – w tym 6 razy z biur rządowych.

Mam wrażenie, że prywatna firma zrobiłaby coś z tym jakieś 8 utrat danych temu. Ale w końcu to sa fundusze publiczne. Może teraz zainwestuja w jakiś system ochrony?

Twoje Dokumenty w Social Media

Sierpień 18th, 2009 by mateusz (0) Bezpieczeństwo IT,Kradzież danych,Naruszenie bezpieczeństwa,Ochrona sieci komputerowych,Zabezpieczenie przed utratą danych,złośliwe oprogramowanie

Facebook, LinkedIn, Twitter, codziennie odwiedzane przez pracowników prawie każdej firmy. Dzielimy się informacjami – nawet czasem w zbyt dużych ilościach – z każdą osobą obecną w sieci. Nie chodzi o to, żebyśmy rezygnowali z korzysci jakie daje networking online, ale musimy być świadomi, które na nas tam czychają. Jak we wszystkich dziedzinach powiązanych z ochroną danych – niezbezpieczeństwo jest albo wewnątrz, albo na zewnatrz organizacji. Zarówno złośliwe oprogramowanie, które obrało na cel social media jak i Twoi właśni pracownicy, pozbawieni odpowiedniego przeszkolenia, bądź umyślnie umieszczają poufne informacje w sieci.

To jak tego uniknąć? Na pewno nie można tego zignorować. Na pewno nie zatrzaśniesz tych drzwi, skoro social media mają taki wpływ na Twoją firmę. Ograniczenia czasu użytkowania też raczej nie pomogą. W końcu, żeby opublikować jeden post, potrzebne jest kilkanaście sekund, a może trafić on do każdego.

Czytając pewien artykuł na temat social media w pracy, natrafiłem na wnioski z pewnego badania (badanie Sophos), które pokazało, że 62.8% firm nie było zadowolone z tego, że ich pracownicy dzielą się zbyt wieloma informacjami na Facebooku, a 66% jednoznacznie stwierdziło, że pracownicy używający social networks narażaja bezpieczeństwo firmy.

Prawda. I co z tym zrobisz? Masz 3 sposoby. Najpierw ogranicz dostęp pracownikom do poufnych dokumentów (np. poprzez system białej listy). To tylko jest chwilowe rozwiązanie. Potem przeszkol ich. Powiedz co jest dobrym zachowaniem, a co naraża dobro firmy. Na koniec – obserwuj ich ruchy. Jakie pliki, na czym i gdzie przenoszą. Albo módl się o cud.