Інформування про витоки інформації
22:35 02.02.2012Торкнуся теми інформування про витоки інформації, що сталися внаслідок секюріті інцидентів, таких як взлом сайта, проникнення в СУБД, на комп’ютери в LAN, тощо. Зокрема це стосується різних компаній, що мають клієнтську базу і які мали б інформувати своїх клієнтів про такі випадки.
За звичай про витоки інформації (особливо клієнтської) компанії особливо не розголошують, ні публічно, ні клієнтів не інформують. Зокрема це стосується України, на заході такі випадки іноді мають місце, але вони нечисленні - набагато більше випадків приховуються, ніж стають публічними. В тому числі це стосується таких компаній як домен і хостер провайдери, приклади випадків з деякими з них я наведу далі.
Іноді компанії, зокрема ті ж хостери, повідомляють своїх клієнтів, що їм змінили паролі, але нічого більше не згадуючи. Або ж додаючи, що цю зміну вони зробили за для безпеки своїх користувачів - такі вони компанії, що дуже піклуються про безпеку власних користувачів (при цьому маючи численні дірки на власних сайтах).
Нещодавно я писав про новий закон Євросоюзу, що повинен буде змусити компанії в ЄС повідомляти про взлом протягом 24 годин. Як приймуть цей закон, то в країнах ЄС компаніям доведеться вже не приховувати інциденти (чи зовсів не сповіщати, чи “не уточнювати”, що саме сталося), а оперативно інформувати своїх клієнтів, при цьому чітко вказуючи, що мав місце саме взлом (чи інший витік інформації). А раз клієнтів проінформують, то і в ЗМІ ця інформація з’явиться. Колись ця практика дійде й до України.
В цій же новині я згадував про інцидент з DreamHost - цього хостера взломали і вони публічно сповістили про це своїх клієнтів. Яких у компанії багато - на хостінгу DreamHost розміщується близько 1,22 млн. доменів. Подібних кроків від провайдерів побачиш не часто. Приведу вам приклад з українських реалій.
Мені доводилося отримувати листи про зміну пароля на сайтах, якими я користуюся, адміни яких робили вигляд, що турбуються про безпеку, тому змінили пароль. Хоча при цьому мають дірявий сайт, бо на його безпеку вони забивають, і зміна пароля користувачам - це найлегший і безкоштовний спосіб “зробити вигляд”.
Наприклад, 30.10.2008 домен провайдер Imena.ua, послугами якого я користуюся для своїх сайтів ще з 2003 року, вислав сповіщення про зміну пароля в адмінку. Пояснювалося це турботою про безпеку. Жодних заяв про взломи чи витоки інформації не було, хоча це перше, що напрошується в якості причини. І якби це в них була така практика - щомісяця змінуювати паролі - то це було б зрозуміло, але це був перший випадок за 5 років і за наступні 3,5 років більше таких змін не було. Й таких “тихих” змін паролів, без жодних заяв про взломи, серед україньских компаній я гадаю відбується чимало.
