2.4.08

Još jedan slučaj krađe podataka

Prije desetak dana se pojavio još jedan slučaj krađe podataka o kreditnim karticama. Hannaford Bros. - američki maloprodajni lanac s gotovo 300 dućana - obavijestio je o gubitku (krađi) preko 4 milijuna brojeva keditnih kartica. Vijest zapravo i nije vijest. Trgovački lanac TJX je početkom 2007. izgubio podatke o 45 milijuna kartica, a krađe povjerljivih podataka s notebooka i arhivskih traka postale su uobičajene. No, razlog zbog kojeg skrećem pažnju na slučaj Hannaford je činjenica da je tvrtka Hannaford Bros. imala certifikat o sukladnosti s Payment Card Industry Data Security Standard (PCI DSS) i to za 2007. i 2008. godinu.

Kako se, onda, mogao dogoditi incident ovih razmjera? Odnosno, pitanje se može postaviti i na slijedeći način: kako je Hannaford mogao dobiti certifikat o sukladnosti? Pokušat ću odgovoriti na drugo pitanje.

Prvo, činjenica da je neki sustav dobio potvrdu o sukladnosti s određenim pravilima ne znači da će se ta pravila poštovati ni 24 sata od davanja potvrde. To vrijedi za sve složene tehnološke sustave, ne samo informatičke. To vrijedi i za vaš osobni auto: prolazak na tehničkom pregledu nije jamstvo o njegovom besprijekornom funkcioniranju. No, certifikat u svakom slučaju doprinosti uvjerenju da je mogućnost ispada sustava dovoljno (prihvatljivo) niska. Ovo razmatranje osobito vrijedi za informacijsku sigurnost. Informacijska je sigurnost složen tehnološki sustav u kojemu je faktor utjecaja netehnoloških elemenata (čitaj: ljudski faktor) izuzetno visok. Tržišni certifikati (kao što je PCI DSS), norme (ISO 27001), formalne provjere (revizije) i neformalne provjere (penetracijski testovi) provjeravaju djelovanje ljudskog faktora u većem ili (češće) manjem dometu, no potvrda o prihvatljivom djelovanju ljudskog faktora vremenski je ograničena na razdoblje trajanja postupka provjere. Sve ostalo je samo određena mogućnost da će potvrda biti valjana i nakon odlaska revizora. Stoga, revizija i službeni certifikati koji proizlaze iz revizije trebaju biti upotpunjeni s kontinuiranim praćenjem rada sustava. Jednokratna se provjera mora transformirati u kontinuirani proces.

Drugi problem nastaje iz formalnog statusa same revizije. Iako je postupak donošenja PCI DSS certifikacije detaljno definiran te postoje strogi kriteriji koje moraju ispunjavati ovlašteni revizori, pojavili su se komentari (i prije slučaja koji ovdje opisujemo) o različitim naporima i različitim razinama striktnosti koje PCI revizori zahtjevaju. Tu se pojavljuje i problem sukoba interesa u kojem se često mogu naći revizori (sjetimo se Enrona, no u drugim poslovnom kontekstu i drugom okruženju). Također, treba uzeti u obzir da svaka revizija u kojemu klijent plaća troškove revizije (a ne tijelo koje reviziju zahtjeva) u sebi sadrži rizike nadekvatne provjere (jer, klijent ima pravo tražiti najjeftiniju reviziju).

Iako često na ovim stranicama pišem o regulaciji informacijske sigurnosti, smatram da formalna certifikacija, bez jasno definiranih i detaljno dorađenih pravila igre, može napraviti lošu uslugu informacijskoj sigurnosti.

Za kraj, vraćam se samom slučaju Hannaford. Rezultati istrage još nisu objavljeni, no pojavile su se procjene da je događaj o kojemu ovdje govorim bio moguć ponajprije djelovanjem "insidera".

Nema komentara:

Objavi komentar