AC FORUM
Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

AC
FORUM

Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

×
Blog teaser image

Znáte své dodavatele a zaměstnance?

Často se ve své profesní praxi setkávám s bagatelizací hrozeb a rizik („proč by někdo útočil na nás“ nebo „nám stejně nemají co vzít“). Když se dotáži, jak na to zákazníci přišli nebo čím mohou svůj pocit doložit, je to zpravidla o tom, že lidé mají svůj „pocit“ či „my víme“.  A to se stalo asi i Hacking Teamu.

Abych byl taky aktuální a okomentoval něco co „hýbe světem“ zmíním se tentokrát o Hacking Teamu. Než jsem se vrátil z dovolené (moje nepřítomnost neměla nic společného s útokem na Hacking Team J) zaplnily média články a informace o tom, co všechno se stalo, kdo všechno byl účasten a co všechno se teď bude dít J

Příběh firmy Hacking Team je sice znám, ale krátce zrekapituluji. Firma se zabývala vývojem software pro průnik do cizích systémů a poskytovala související služby. Jejími zákazníky byly mimo jiné státní orgány (rozuměj bezpečnostní složky) mnoha zemí (mimo jiné i ČR). Samotná firma Hacking Team pak byla hacknuta a z jejich systémů útočníci získali spoustu informací o technologiích a zákaznicích. Zajímavé je, že průnik se povedl díky zcela neprofesionálním heslům (třeba cituji „Passw0rd“), které měl nastaven jeden ze šéfů Hacking Teamu.

Jak je možné, že k tomu vůbec došlo? Osobně se domnívám, že se za tím skrývá nebývalý nárůst profesního sebevědomí v kombinaci s bagatelizací rizik. Je to takový ten postoj „nic se nám zatím nestalo, tak se ani nestane“, „my jsme profíci a nemáme se čeho bát“, „nám nic nehrozí a my to víme“ a tak dále. K tomu přidejte jako další ingredienci pravděpodobný nedostatek jakýchkoliv kontrolních mechanismů a úspěšný útok byl na světe. Mimochodem nepoznáváte se v těch postojích trochu sami? Často se s bagatelizací hrozeb a rizik („proč by někdo útočil na nás“ nebo „nám stejně nemají co vzít“) setkávám i ve své profesní praxi. Když se dotáži, jak na to přišli nebo čím mohou svůj pocit doložit, je to zpravidla o tom, že lidé mají svůj „pocit“ či „my víme“.  V případu Hacking Teamu stačilo provést pár testů vůči jejich systému a tento příběh by neexistoval.

Další věcí, která mě občas zaráží je, že zákaznici pouštějí ke svým systémům téměř kohokoliv. Jakoby je nezajímalo (nebo snad nechtěli vědět) jaké má jejich dodavatel bezpečnostní mechanismy a jestli je možné mu důvěřovat. Souhlasím, že cena je důležitý parametr nabídky, ale důvěryhodnost dodavatele by snad měla být ještě významnější. Co myslíte, nad čím teď uvažují zákazníci Hacking Teamu? Mimochodem tento měsíc „prosákl na veřejnost“ další zajímavý incident. Společnost FireEye je jedním z velkých poskytovatelů bezpečnostních řešení a přímo v oddělení, které se věnuje analýze a výzkumu hrozeb pracoval tvůrce malware Dendroid. Co dělal v pracovní době, si jistě dokážete představit sami. Znáte tedy své dodavatele?

V bezpečnosti neexistuje 100% jistota, nicméně rizika můžeme omezovat až do úrovně, kdy s nimi dokážeme žít. V prvé řadě bychom se neměli bát si je přiznat a následně s nimi můžeme pracovat. Nebojme se udělat si audit, penetrační test a analýzu rizik, to že nám odhalí nějaký nepořádek, nic nevypovídá o práci IT oddělení, 100% totiž nic a nikdy nebude.

A co se týká dodavatelů, nestyďte se je požádat, aby vám doložili, jak jsou sami bezpeční a jak tedy budou nakládat s vašimi daty. Klidně jim i stanovte své bezpečnostní požadavky.

A mimochodem, víte o tom, že AutoCont má certifikaci bezpečnosti dle ČSN ISO/IEC 27001? J

Komentáře