Πηγή και σχόλιο ID-ont: Διαβάστε ένα αποκαλυπτικό άρθρο των Financial Times για τις υποκλοπές προσωπικών δεδομένων από βάσεις δεδομένων που συνδέονται με το διαδίκτυο. Επισημαίνουμε ότι τέτοιες βάσεις δεδομένων, με τα προσωπικά στοιχεία των πολιτών, θα είναι υποχρεωμένα τα Ελληνικά Υπουργεία να δημιουργήσουν, στο πλαίσιο του νόμου της ηλεκτρονικής διακυβέρνησης που πρόσφατα ψηφίστηκε. Αυτό όμως ακριβώς που προβλέπει ο νέος νόμος, το άρθρο, συνιστά ότι πρέπει πλέον να αποφεύγεται γιατί είναι μη ασφαλές.
Θυμίζουμε ότι μέσω διαδικτύου:
α) έγινε η απογραφή των δημοσίων υπαλλήλων πέρυσι το καλοκαίρι και
β) με την ηλεκτρονική συνταγογράφηση ενημερώνεται το Υπουργείο Υγείας για τις ασθένειες και τα φάρμακα που αγοράζουν οι πολίτες.
Τόσο όμως το ένα σύστημα όσο και το άλλο "διακινούν", μέσω του αποδεδειγμένα μη ασφαλούς διαδικτύου, τεράστιο όγκο ευαίσθητων προσωπικών δεδομένων.
Το δημοσίευμα επίσης αναδεικνύει ότι ο πρώτος κίνδυνος για τα προσωπικά μας δεδομένα είναι οι νόμιμοι διαχειριστές των βάσεων δεδομένων (τελευταία παράγραφος κατωτέρω) και δεύτερος κίνδυνος είναι οι χάκερς.
Τα εμβατήρια του κυβερνοπολέμου ηχούν εκκωφαντικά όχι μόνο στην επιστημονική φαντασία αλλά και στην πραγματικότητα. Την Τετάρτη, η Google αποκάλυψε πως για δεύτερη φορά μέσα σε διάστημα δύο ετών έπεσε θέμα κυβερνοεπίθεσης που ξεκίνησε από την Κίνα. Στόχοι ήταν χρήστες της υπηρεσίας gmail -εκ των οποίων και Αμερικανοί αξιωματούχοι-, στους οποίους εστάλησαν εικονικά emails που τους εξαπάτησαν ώστε να δώσουν τους κωδικούς των λογαριασμών των ηλεκτρονικών τους ταχυδρομείων. Η πρακτική του spear-phishing (ψάρεμα), όπως είναι γνωστή, είναι ήδη διαδεδομένη. Τα υπουργεία της βρετανικής κυβέρνησης δέχονται 1.000 επιθέσεις ανά μήνα. Όσο μεγαλώνει η παγκόσμια εξάρτηση από το ηλεκτρονικό δίκτυο, τόσο εντείνονται και αυτές οι απειλές. Είναι κρίσιμο, κατά συνέπεια, να ληφθούν τα απαραίτητα μέτρα για να αντιμετωπιστεί αυτό το πρόβλημα, τόσο από τις κυβερνήσεις όσο και από τις επιχειρήσεις.
Οι ΗΠΑ αυτήν την εβδομάδα κατηγοριοποίησαν τις κυβερνοεπιθέσεις ως πράξεις πολέμου (γεγονός που θεωρητικά ανοίγει τον δρόμο για στρατιωτική αντεπίθεση). Οι ψυχροπολεμικές πρακτικές αναχαίτισης, όμως, δεν αποτελούν ρεαλιστική επιλογή. Το γεγονός ότι η ταυτότητα των επιτιθέμενων στην Google παραμένει άγνωστη δείχνει ότι τα κυβερνοόπλα μπορούν να χρησιμοποιηθούν ανώνυμα. Κατά συνέπεια, η όποια απειλή αντιποίνων (και διεθνών συμφωνιών) είναι ανούσια. Σε αυτό το επίπεδο, οι κυβερνήσεις και οι επιχειρήσεις μπορούν να κάνουν πολλά, είτε μεμονωμένα είτε σε συνεργασία. Οι επιχειρήσεις θα πρέπει να απομονώσουν τα ευαίσθητα συστήματα τόσο από το Internet όσο και από άλλα εσωτερικά δίκτυα. Θα πρέπει επίσης να ελέγχουν πιο αυστηρά τον εξοπλισμό που χρησιμοποιεί το εργατικό τους δυναμικό (κυρίως τη διάδοση του Stuxnet μέσω των USB). Τέτοια βήματα είναι δυνατόν να συντονιστούν ευκολότερα εάν ενισχυθεί ο ρόλος του επικεφαλής του τμήματος τεχνολογικής στήριξης.
Παράλληλα, όμως, απαιτείται στροφή 180 μοιρών στην επιχειρηματική κουλτούρα. Μία από τις δυσκολίες στην καταπολέμηση του κυβερνοεγκλήματος είναι ότι οι εταιρίες διστάζουν να μοιραστούν πληροφορίες ως προς την παραβίαση των συστημάτων ασφαλείας τους. Αυτό, όμως, επιτρέπει στους hackers να χρησιμοποιούν τον ίδιο τρόπο επίθεσης σε πολλούς στόχους. Για να αντιμετωπιστεί αυτό, οι επιχειρήσεις θα πρέπει να αρχίσουν να μοιράζονται τέτοια στοιχεία ακόμη και με τους ανταγωνιστές τους. Θα μπορούσαν ίσως να μοιραστούν αυτές τις πληροφορίες ανώνυμα, εάν αυτό διευκολύνει τη διαδικασία. Οι κυβερνήσεις, από την πλευρά τους, θα πρέπει να συμπεριλάβουν και τον ιδιωτικό κλάδο στη λήψη αποφάσεων. Ενδεχόμενη επίθεση στον τραπεζικό κλάδο, επί παραδείγματι, θα μπορούσε να είναι καταστροφική. Παρ' όλα αυτά, οι περισσότερες υπηρεσίες για την αντιμετώπιση των κυβερνοεπιθέσεων περιορίζονται στην υπεράσπιση της κυβέρνησης και του στρατού. Αυτή η νοοτροπία χρειάζεται να αλλάξει. Οι κυβερνήσεις θα πρέπει επίσης να επιβάλουν αυστηρότερους κανόνες για τα λογισμικά προϊόντα.
Εν κατακλείδι, όμως, τα συστήματα είναι τόσο ασφαλή όσο σίγουροι μπορεί να είμαστε για τους ανθρώπους που τα χειρίζονται. Η τελευταία επίθεση εναντίον της Google έγινε με την εκμετάλλευση μιας ανθρώπινης και όχι τεχνικής αδυναμίας. Αυτό είναι κάτι που καμία τεχνολογία δεν μπορεί να καλύψει.
http://www.euro2day.gr/ftcom_gr/194/articles/642923/ArticleFTgr.aspx
Θυμίζουμε ότι μέσω διαδικτύου:
α) έγινε η απογραφή των δημοσίων υπαλλήλων πέρυσι το καλοκαίρι και
β) με την ηλεκτρονική συνταγογράφηση ενημερώνεται το Υπουργείο Υγείας για τις ασθένειες και τα φάρμακα που αγοράζουν οι πολίτες.
Τόσο όμως το ένα σύστημα όσο και το άλλο "διακινούν", μέσω του αποδεδειγμένα μη ασφαλούς διαδικτύου, τεράστιο όγκο ευαίσθητων προσωπικών δεδομένων.
Το δημοσίευμα επίσης αναδεικνύει ότι ο πρώτος κίνδυνος για τα προσωπικά μας δεδομένα είναι οι νόμιμοι διαχειριστές των βάσεων δεδομένων (τελευταία παράγραφος κατωτέρω) και δεύτερος κίνδυνος είναι οι χάκερς.
Τα εμβατήρια του κυβερνοπολέμου ηχούν εκκωφαντικά όχι μόνο στην επιστημονική φαντασία αλλά και στην πραγματικότητα. Την Τετάρτη, η Google αποκάλυψε πως για δεύτερη φορά μέσα σε διάστημα δύο ετών έπεσε θέμα κυβερνοεπίθεσης που ξεκίνησε από την Κίνα. Στόχοι ήταν χρήστες της υπηρεσίας gmail -εκ των οποίων και Αμερικανοί αξιωματούχοι-, στους οποίους εστάλησαν εικονικά emails που τους εξαπάτησαν ώστε να δώσουν τους κωδικούς των λογαριασμών των ηλεκτρονικών τους ταχυδρομείων. Η πρακτική του spear-phishing (ψάρεμα), όπως είναι γνωστή, είναι ήδη διαδεδομένη. Τα υπουργεία της βρετανικής κυβέρνησης δέχονται 1.000 επιθέσεις ανά μήνα. Όσο μεγαλώνει η παγκόσμια εξάρτηση από το ηλεκτρονικό δίκτυο, τόσο εντείνονται και αυτές οι απειλές. Είναι κρίσιμο, κατά συνέπεια, να ληφθούν τα απαραίτητα μέτρα για να αντιμετωπιστεί αυτό το πρόβλημα, τόσο από τις κυβερνήσεις όσο και από τις επιχειρήσεις.
Οι ΗΠΑ αυτήν την εβδομάδα κατηγοριοποίησαν τις κυβερνοεπιθέσεις ως πράξεις πολέμου (γεγονός που θεωρητικά ανοίγει τον δρόμο για στρατιωτική αντεπίθεση). Οι ψυχροπολεμικές πρακτικές αναχαίτισης, όμως, δεν αποτελούν ρεαλιστική επιλογή. Το γεγονός ότι η ταυτότητα των επιτιθέμενων στην Google παραμένει άγνωστη δείχνει ότι τα κυβερνοόπλα μπορούν να χρησιμοποιηθούν ανώνυμα. Κατά συνέπεια, η όποια απειλή αντιποίνων (και διεθνών συμφωνιών) είναι ανούσια. Σε αυτό το επίπεδο, οι κυβερνήσεις και οι επιχειρήσεις μπορούν να κάνουν πολλά, είτε μεμονωμένα είτε σε συνεργασία. Οι επιχειρήσεις θα πρέπει να απομονώσουν τα ευαίσθητα συστήματα τόσο από το Internet όσο και από άλλα εσωτερικά δίκτυα. Θα πρέπει επίσης να ελέγχουν πιο αυστηρά τον εξοπλισμό που χρησιμοποιεί το εργατικό τους δυναμικό (κυρίως τη διάδοση του Stuxnet μέσω των USB). Τέτοια βήματα είναι δυνατόν να συντονιστούν ευκολότερα εάν ενισχυθεί ο ρόλος του επικεφαλής του τμήματος τεχνολογικής στήριξης.
Παράλληλα, όμως, απαιτείται στροφή 180 μοιρών στην επιχειρηματική κουλτούρα. Μία από τις δυσκολίες στην καταπολέμηση του κυβερνοεγκλήματος είναι ότι οι εταιρίες διστάζουν να μοιραστούν πληροφορίες ως προς την παραβίαση των συστημάτων ασφαλείας τους. Αυτό, όμως, επιτρέπει στους hackers να χρησιμοποιούν τον ίδιο τρόπο επίθεσης σε πολλούς στόχους. Για να αντιμετωπιστεί αυτό, οι επιχειρήσεις θα πρέπει να αρχίσουν να μοιράζονται τέτοια στοιχεία ακόμη και με τους ανταγωνιστές τους. Θα μπορούσαν ίσως να μοιραστούν αυτές τις πληροφορίες ανώνυμα, εάν αυτό διευκολύνει τη διαδικασία. Οι κυβερνήσεις, από την πλευρά τους, θα πρέπει να συμπεριλάβουν και τον ιδιωτικό κλάδο στη λήψη αποφάσεων. Ενδεχόμενη επίθεση στον τραπεζικό κλάδο, επί παραδείγματι, θα μπορούσε να είναι καταστροφική. Παρ' όλα αυτά, οι περισσότερες υπηρεσίες για την αντιμετώπιση των κυβερνοεπιθέσεων περιορίζονται στην υπεράσπιση της κυβέρνησης και του στρατού. Αυτή η νοοτροπία χρειάζεται να αλλάξει. Οι κυβερνήσεις θα πρέπει επίσης να επιβάλουν αυστηρότερους κανόνες για τα λογισμικά προϊόντα.
Εν κατακλείδι, όμως, τα συστήματα είναι τόσο ασφαλή όσο σίγουροι μπορεί να είμαστε για τους ανθρώπους που τα χειρίζονται. Η τελευταία επίθεση εναντίον της Google έγινε με την εκμετάλλευση μιας ανθρώπινης και όχι τεχνικής αδυναμίας. Αυτό είναι κάτι που καμία τεχνολογία δεν μπορεί να καλύψει.
http://www.euro2day.gr/ftcom_gr/194/articles/642923/ArticleFTgr.aspx
Χάκερ έκλεψαν ξανά τα δεδομένα 1 εκατ. πελατών της Sony.
Hackers "χτύπησαν" το gmail της Google
Βρώσιμα RFID τσιπάκια;
No comments :
Post a Comment