Oct
09
2007
0

Ασφάλεια υλικού: Μια ιστορία τρόμου

Πίσω στον χρόνο, τις 7 Μαΐου φέτος, η TSA, η οργάνωση υπεύθυνη για την ασφάλεια των αερομεταφορών στις ΗΠΑ, έχασε έναν σκληρό δίσκο με τα προσωπικά στοιχεία 100.000 περίπου υπαλλήλων της. Το σίγουρο είναι ότι αυτές οι πληροφορίες, στα χέρια των τρομοκρατών, θα ήταν πολύ χρήσιμες. Όταν γνωρίζεις τα στοιχεία των ελεγκτών στο σημείου ελέγχου ασφαλείας του αεροδρομίου δεν είναι δύσκολο να εκβιάσεις ή τουλάχιστον να επηρεάσεις την αποτελεσματικότητα αυτών των ανθρώπων.

Η TSA έκανε την ανακοίνωση το βράδι της Παρασκευής, ελπίζοντας ότι δεν θα δοθεί και πολλή σημασία αλλά… άνθρακες ο θησαυρός. Βούηξε ο τόπος και τελικά αναγκάστηκαν να δημιουργήσουν ολόκληρη ειδική περιοχή στον ιστοτόπο τους για να πληροφορήσουν τους 100.000 υπαλλήλους τους για την τύχη των προσωπικών τους δεδομένων. Εκεί λοιπόν διακρίνω υπηρεσίες για την προστασία των υπαλλήλων από απάτες με αιχμή δωρεάν ελέγχους του credit τους (οι απατεώνες μπορούν να κάνουν αγορές και δάνεια με βάση τα κλεμένα στοιχεία). Περίεργο όμως που μια υπηρεσία που κόπτεται τα μάλα για την «τρομοκρατική απειλή» και ταλαιπωρεί τόσο κόσμο δεν ανησυχεί καθόλου για την χρήση των πληροφοριών αυτών για την παράκαμψη των ελέγχων στα αεροδρόμια ή αλλού… Ούτε έναν καθησυχαστικό λόγο δεν βρήκα.

Ακόμα πιο σημαντικό και μάλλον περισσότερο επί της ουσίας είναι το θέμα του δίσκου που χάθηκε. Ενώ υπάρχει εντολή της υπηρεσίας να κρυπτογραφούνται όλες οι συσκευές αποθήκευσης δεδομένων που μετακινούνται από υπαλλήλους, ο δίσκος δεν είχε κρυπτογραφηθεί. Ξεχνάμε συχνά να αναλογιστούμε το κόστος μιας απώλειας υλικού.

Τι θα κοστίσει σε μια εταιρεία η κλοπή του ηλεκτρονικού υπολογιστή της γραμματείας, ή της υποδοχής ενός ξενοδοχείου; Σε μια εποχή όπου η Ελλάδα έχει πια ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων, δεν αρκούν πια αυτές οι ερωτήσεις. Πρέπει να αναρωτηθεί κανείς τι κόστος θα έχουν οι πελάτες του στις παραπάνω περιπτώσεις καθώς και κατά πόσον εκτίθεται νομικά σε μηνύσεις ή πρόστιμα από την Αρχή.

Δεν αρκεί λοιπόν να κρατά κανείς αντίγραφα ασφαλείας, πρέπει να φροντίζει, για την δική του προστασία, να κρυπτογραφεί τα δεδομένα σε κάθε υπολογιστικό σύστημα ή βάση δεδομένων, ειδικά αυτές που αποθηκεύονται διαδικτυακά (όπως είναι συχνή τακτική σήμερα). Αναρωτηθήκατε ποτέ σε πόσους εμπιστεύεστε τα προσωπικά σας δεδομένα καθημερινά και τι κάνουν αυτοί για να τα προστατέψουν;

Oct
09
2007
0

Κινδυνεύω από μηνύσεις επειδή έχω ιστοσελίδα;

Πολλοί ιστότοποι πια βασίζονται στις συνεισφορές των επισκεπτών για περιεχόμενο. Γνωστά παραδείγματα το YouTube, όπου το περιεχόμενο είναι αποκλειστικά βίντεο ανεβασμένα από τους χρήστες και τα γνωστά Facebook και MySpace όπου ο κάθε χρήστης μπορεί να δημοσιεύσει περιεχόμενο ελεύθερα. Ποιός όμως έχει την νομική ευθύνη για το περιεχόμενο αυτό;

Οι δικτυακές αυτές κοινότητες έχουν όρους και περιορισμούς για να προστατεψουν τους διαχειριστές όπως περιορισμούς στην δημοσίευση περιεχομένου που υπόκειται σε πνευματικά δικαιώματα, υβριστικού ή και σεξουαλικού περιεχομένου. Η αλήθεια όμως είναι ότι δεν υπάρχει τεχνικά αξιόπιστος τρόπος να ελεγχθεί αυτό το περιεχόμενο, μόνο και μόνο εξαιτίας του όγκου των δεδομένων που πρέπει να ελεγχθούν. Έτσι οι εταιρείες περιορίζονται στην δημοσίευση κανονισμών και την νομική δέσμευση να αφαιρέσουν όποιο περιεχόμενο επισημανθεί ότι τους παραβιάζει.

Το πρόβλημα είναι το νομικό πλαίσιο. Αφορμή του προβληματισμού είναι η κίνηση της κυβέρνησης των Η.Π.Α. να ενισχύσει το section 230 του Communications Decency Act του 1996.

Από Techdirt:
A federal judge in Texas has ruled that Yahoo wasn’t liable in a civil case for an child pornography online group set up and moderated by a user on its servers. The user’s in jail on criminal charges stemming from the group, but a civil suit targeted the ISP with a variety of claims, though the judge ruled that Section 230 gave them immunity, even though it was alleged Yahoo had broken the law by hosting child porn. This means that people can’t file civil cases against site owners or hosting providers, and use the allegation of criminal conduct as a way to get around Section 230. (έμφαση δική μου)

Που σημαίνει ότι αν αυτό εδώ το blog υπόκειτο στον νόμο αυτό και κάποιος χρήστης ανέβαζε εικόνες ανηλίκων χωρίς την άδειά μας εμείς δεν θα μπορούσαμε να δεχτούμε μήνυση, αρκεί να αφαιρούσαμε το περιεχόμενο αμέσως μόλις ειδοποιούμασταν. Το Section 230 εφαρμόζεται κυρίως στα σχόλια και στα φόρουμς συζητήσεων όπου είναι αδύνατον να ελεγχθούν όλα τα κείμενα. Η χρήση του για την προστασία του yahoo σε μια τόσο μεγάλου προφίλ υπόθεση είναι ένα θετικό μήνυμα για όλους μας, ειδικά στην Ελλάδα όπου ο νόμος δεν έχει ακόμα ξεκαθαριστεί για τις διαδικτυακές δημοσιεύσεις.

Written by admin in: Uncategorized | Tags: , , ,

Powered by WordPress | Aeros Theme | TheBuckmaker.com WordPress Themes