Od kilku dni większość mediów żyje informacją dotycząca możliwego wycieku sporej ilości danych z systemu PESEL. Zanim jednak prokuratura ustali, czy ów masowy transfer danych z serwerów MSW do pięciu kancelarii komorniczych był wyciekiem czy kontrolowanym i uzasadnionym przepływem danych, warto się zastanowić nad samą istotą potencjalnego incydentu.

Zabezpieczenie jest tak mocne, jak jego najsłabsze ogniwo…

Zapewnienie bezpieczeństwa serwerom i systemom przetwarzającym cenne informacje nie wystarczy, żeby zapewnić sobie spokojny sen. Musimy pamiętać o dobrym zabezpieczeniu instytucji i urządzeń ich pracowników, którzy mają dostęp zdalny do informacji (np. logując się przez sieć VPN). Jest to istotne dlatego, że najczęściej przyczyną kradzieży cennych danych są źle zabezpieczone tak zwane elementy pośredniczące w transmisji czyli komputery lub urządzenia sieciowe. Kolejnym słabym punktem są również użytkownicy mający przyznany dostęp nadmiarowo. Poprzez te słabe ogniwa nawet w najszczelniejszym łańcuchu zabezpieczeń dobrze „poinformowany” złodziej ma możliwość uzyskania nieuprawnionego dostępu do systemu. Wtedy hakerzy mogą wyprowadzić cenne informacje jako użytkownicy uprawnieni, nie budzący podejrzeń dla systemów monitoringu zdarzeń sieciowych czy firewalli aplikacyjnych.

Co musi zrobić zwykły „Kowalski”, a co powinna zrobić firma „Kowalski”

W obliczu ostatnich zdarzeń z perspektywy zwykłego „Kowalskiego” zasadnym jest zarejestrowanie się w Biurze Informacji Kredytowej czy Krajowym Rejestrze Długów i uruchomienie alertu w celu bieżącego informowania o zapytaniu o nasze dane, co może być pierwszym krokiem do ew. wyłudzeń finansowych, np. w postaci kredytu.

Wypełniając kolejne pola w  formularzu rejestracyjnym tych instytucji pamiętajmy, że aktualizujemy informacje o nas samych. To oczywiście ma swoje wady i zalety. Jeśli więc system PESEL nie posiada naszych aktualnych danych to prawdopodobnie nikt nie zaciągnie kredytu z ich użyciem, a z drugiej strony przy kolejnym „włamaniu” zaciągnięte zostaną dane aktualne. Nie zmienia to jednak faktu, że lepiej, aby dane jednak były aktualne.

Zwykły „Kowalski” korzystając z mediów społecznościowych często podaje swoje dane osobowe. Zapewne ich poziom szczegółowości nie jest aż tak wysoki, jak w systemie PESEL, jednak równie bogaty we wskazówki dla potencjalnych złodziei, którzy oficjalnie mogą zdobyć informacje np. o naszym aktualnym miejscu pobytu czy też poziomie zamożności.

Firma ”Kowalski” w celu zabezpieczenia tożsamości swoich użytkowników powinna położyć największy nacisk na edukację pracowników pod kątem zagrożeń cybernetycznych, w tym socjotechniki. Dodatkowo regularne audyty bezpieczeństwa w formie pentestów pozwolą nam na bieżąco tunningować system bezpieczeństwa infrastruktury, a tym samym mocno utrudnić działania hackerskie.

Co się jeszcze stanie…

Na szczęście dla firm i instytucji – od pewnego czasu trwają już prace nad ubezpieczeniem od kradzieży (utraty) tożsamości w związku z czym polscy przedsiębiorcy będą mogli  skorzystać z takiej ochrony.

About the author

Tagi: , , , , , , , , , , , ,

POLECANE DLA CIEBIE