środa, 16 lipca 2008

Zabierzcie temu panu mikrofon

Powiedziałem sobie, że do czasu ogłoszenia przez GIODO oficjalnego komunikatu dotyczącego kontroli w PEKAO S.A. i PC nie będę już zabierał głosu w tej sprawie, bo przypomina to już serial brazylijski. Ale nie wytrzymałem :)
Podczas porannego przegladania internetu przy kawie natrafiłem na artykuł, w którym zacytowane są wypowiedzi p. rzecznika Arkadiusza Mierzwy. Link
"Po ataku hakerskim okazało się, że zabezpieczenia nie były wystarczające. W tym przypadku błąd nie leżał po stronie człowieka" - powiedział we wtorek PAP rzecznik prasowy Pekao Arkadiusz Mierzwa. Zaznaczył, że nie może kontrolować systemów bezpieczeństwa zewnętrznej firmy, z którą współpracuje.
Panie kochany, pieprzysz Pan jak potłuczony (bo inaczej nie można nazwać takich wypowiedzi). Jest to błąd tylko i wyłącznie ludzki. Dlaczego?
1. Człowiek popełnik błąd podczas projektowania systemu stronki i zabezpieczenia. Na tym samym serwerze, dokumenty i samą stronkę, mogę umieścić ja lub ludzie robiący strony dla małych firm. W przypadku największego banku w Polsce, gdzie liczy się autorytet należy dmuchać na zimne. Serwer powinien stać na jednej maszynie, a wpływające dokumenty powinny lądować na innej - ruch tylko w jedna stronę - pracownik PC
2. Człowiek popełnił błąd i nie skontrolował założeń przed postawieniem strony - pracownik banku
3. Człowiek popełnił błąd niedokładnie zabezpieczając serwer - haker mógł się włamać. Nie można zabezpieczyć serwera przed każdym włamaniem, ale umówmy się, tego włamania nie dokonał czołowy hacker - pracownik PC
4. Człowiek popełnił błąd i nie mointorował serwera. Po włamaniu hacker pozostawił widoczny ślad. Było dużo czasu na reakcję. - pracownik banku i pracownik PC





5. Człowiek zawiódł podczas reakcji powłamaniowej. Przecież to człowiek powinien przewidzieć sytuację kryzysową i opracować procedury według których powinny przebiegać zdarzenia. Włamanie na serwer, jest podstawową sytuacją kryzysową w internecie. A jeżeli te procedury były, to człowiek ich nie wykonał. A przecież należało powiadomić GIODO o włamaniu i możliwości wycieku danych, należało zaczać wykonywać podstawowe czynnośc w celu usunięcia danych a googli (roboty), należało zabezpieczyć serwer do analiz, należało skonfigurować nowy (lub odtworzyć z kopii lub z virtualnego serwera - technik do wykonania przez człowieka była całą masa), należało powiadomić opinię publiczna i zachować sie jak poważny i wykształcony człowiek (tak panie rzeczniku - to do Pana). - pracownik banku.
6. Człowiek zawiódł, podejmując próbę zamiecenia wszystkiego pod dywan - pracownik banku.
7. Człowiek zawiódł...


Szanowny panie rzeczniku. UODO pozwala Panu lub pracownikom banku na kontrolę zabezpieczeń firmy zewnętrznej, której powierza Pan przetwarzanie danych. Jeżeli firma zewnętrzna nie zgadza się na taki audyt, to nie należy powierzać im tych danych. Nie musi Pan kontrolować wszystkich zabezpieczeń w tej firmie - wystarczyło tylko te, które związane są z konkretnym projektem.


Decydenci z PEKAO S.A. zabierzcie panu Mierzwie mikrofon.
Błaźni się i jednocześnie kompromituje Wasz bank.

P.S. - zdjęcia ukradłem z VaGla.pl. Mam nadzieję, że się nie obrazi.

Brak komentarzy: