„…a strona moja jak ser szwajcarski… dziurawa…”
Chcemy dziś zwrócić Państwa uwagę na sytuacje, w których można stracić kontrolę nad przetwarzanymi przez nas danymi (również osobowymi).
Kilka ostatnich przykładów pokazuje, że nie znamy dnia ani godziny, gdy okazuje się, że nie mamy wystarczających zabezpieczeń, a w konfiguracji naszych usług są błędy. Oto niektóre z nich:
W Plusie było możliwe pobieranie danych klientów i zarządzanie innymi systemami wewnętrznymi operatora poprzez publicznie dostępne, niezabezpieczone API. W ślad za Plusem podążył system e-TOLL, o którego „wpadce” piszą portale branżowe zajmujące się kwestiami bezpieczeństwa. Dane użytkowników, w tym numery PESEL, były dostępne, ponieważ API nie posiadało poprawnie wdrożonego uwierzytelniania użytkownika.
Chyba każdy chce uniknąć sytuacji, gdy użytkownik jakiegoś serwisu – po zalogowaniu się do niego – widzi tam cudze (np. nasze) dane. Tauronowi najwyraźniej to nie przeszkadzało. Ta firma także była „bohaterem” sytuacji związanej z wyciekiem danych, jaka prawdopodobnie nastąpiła w związku z powierzeniem pewnych informacji podmiotowi zewnętrznemu.
W przeszłości wpadki, podobne do powyższej, pojawiły się w serwisach mBanku, Allegro, UPC czy T-Mobile. Użytkownik po zalogowaniu widział nie swoje dane osobowe, stan konta i mógł ściągać z tych kont informacje. Jak widać, nawet duże podmioty, dysponujące adekwatnymi zasobami finansowymi i informatycznymi, stają się generatorami incydentów naruszenia bezpieczeństwa i to w dość newralgicznych punktach.
Wykrywane błędy są zazwyczaj dość szybko naprawiane przez operatorów poszczególnych usług, ale pojawia się zawsze pytanie: czy ten, kto odkrył podatność, zawsze zgłasza ją danemu dostawcy? Nie każdy hacker jest rycerzem na białym koniu. Nie dziwmy się więc, jeśli efektem takiego „wycieku” będzie kolejny, kierowany do nas zalew ofert z fotowoltaiką i podobnych.
Oprócz wiedzy wymaganej do prawidłowego konfigurowania i zarządzania naszymi serwisami konieczna jest odpowiednia kontrola, czyli audyt. Organizacja powinna mieć kontrolę nad przetwarzanymi danymi i przeprowadzać regularne audyty bezpieczeństwa informacji i RODO (wewnętrzne i zewnętrzne), które stanowią zasadniczy sposób weryfikowania tego stanu.
| Natomiast, zgodnie z regułami sztuki, zawsze powinniśmy testować dane rozwiązanie przed jego wdrożeniem, najlepiej nie „na produkcji” i pamiętać, że bezpieczeństwo to proces, którego stan musimy monitorować po każdej zmianie, aby wychwycić potencjalne błędy, zanim ktoś inny zrobi to za nas. |
KLUCZOWE PYTANIA DO OMAWIANEGO ZAGADNIENIA | |
| 1. | Czy świadomie kontrolujemy i nadzorujemy bezpieczeństwo aplikacji pracujących w środowisku bankowym? |
| 2. | Czy prowadzimy cykliczne i pełnowartościowe audyty bezpieczeństwa informacji? |
| 3. | Kiedy ostatnio weryfikowaliśmy bezpieczeństwo naszych aplikacji? Pamiętajmy, że weryfikacja bezpieczeństwa powinna odbywać się minimum 1 x na 2 lata lub po większych zmianach w naszej infrastrukturze. |
| 4. | Czy świadomie prowadzimy analizę ryzyka bezpieczeństwa środowiska ITC w banku? |
| 5. | Czy kontrolujemy, weryfikujemy i nadzorujemy uprzywilejowane dostępy do aplikacji i ważnych obszarów infrastruktury? |
| Pytania zostały zadane nie bez powodu. W ostatnim czasie w środowiskach bankowości nasiliły się incydenty naruszenia bezpieczeństwa. Aż 80% z nich zostało spowodowanych przez obecnych lub byłych pracowników. | |
Zapraszamy Państwa na szkolenia:
https://edu.servus-comp.pl/pl/
Zapraszamy Państwa do zapoznania się na naszą ofertą:
https://premiumbank.zadbajobezpieczenstwo.pl
Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.