Włamania do serwisów internetowych - czy o wszystkich powinno mówić się otwarcie?
Zastanawiamy się, kiedy ujawnianie naruszenia zabezpieczeń przynosi wymierne korzyści, a kiedy jest tylko wsadzeniem kija w mrowisko
W sieci, także na naszej stronie, dość regularnie pojawiają się doniesienia o włamaniach do serwisów internetowych, których konsekwencją jest bądź to wykradzenie danych, bądź zakłócenie funkcjonowania usług z których korzystają miliony ludzi. W efekcie potencjalnie naruszenie naszego bezpieczeństwa. I o ile media czują się słusznie zobligowane do informowania o wydarzeniach, które mogą wpłynąć na nasze bezpieczeństwo, o tyle kłopotliwe jest określenie, o których z takich przypadków należy mówić otwarcie.
Wszelkie doniesienia związane z działaniami cyberprzestępców, które dopiero co miały miejsce i mogą bezpośrednio nas dotyczyć, są na pewno warte wspomnienia. Takie informacje, niczym notki serwisowe, trafiają do zainteresowanych, którzy mogą przedsięwziąć działania zmniejszające ryzyko negatywnych konsekwencji naruszenia struktur bezpieczeństwa danego serwisu/usługi sieciowej.
Wszyscy wiemy, że w internecie nie możemy czuć się całkowicie bezpieczni, a ostrożność jest jak najbardziej wskazana. Wiemy też, że nie ma 100% pewności, że dana cyfrowa usługa jest całkowicie niepodatna na cyberataki. Czy jednak zawsze chcemy wiedzieć, że mamy rację? Szczególnie gdy dochodzi do wydarzeń, na których przebieg i tak nie mamy kompletnie wpływu.
Wyobraźmy sobie doniesienie o wycieku haseł sprzed kilku lat ze znanej witryny w internecie. Taka informacja z pewnością podkopuje zaufanie do ofiary ataku. Fakt, że coś miało miejsce kilka lat temu, i być może dziś stan rzeczy jest kompletnie odmienny, schodzi na drugi plan. Ważne jest kto lub co, pojawia się okazja by wyrazić swoją frustrację, często w niewybredny sposób.
Można wyobrazić sobie korzyści z takiego doniesienia - propagowanie świadomości, że w internecie zawsze musimy być czujni, stosować do zasad bezpiecznego serfowania i dostępu do usług. Upublicznienie nieprzyjemnego incydentu może zmobilizować mniej roztropnych dostawców sieciowych usług do przemyślenia swojej polityki bezpieczeństwa.
Jest jednak też ciemna strona takich informacji. Sianie paniki, która w istocie do niczego dobrego nie prowadzi. Szczególnie jeśli i tak już nic nie zaradzimy, albo gdy dany incydent w praktyce nie może nam zagrozić.
Zaatakowane firmy, operatorzy, dostawcy usług, muszą sporo czasu poświęcić nie tylko na naprawę szkód związanych z atakiem, ale też na odzyskanie zaufania klienta. Czasem niepotrzebnie utraconego, do czego prowadzi nieznajomość wśród internautów faktycznego stanu rzeczy lub zasad na jakich działają zabezpieczenia.
Mowi się „czego oczy nie widziały, tego sercu nie żal”. Zastanówmy się. Ile z ujawnionych przypadków włamań do serwisów/usług internetowych w ciągu ostatnich kilku lat tak naprawdę miało dla nas większego znaczenie? W ilu przypadkach faktycznie poczuliśmy się zagrożeni, a w ilu przeszliśmy obok wiadomości obojętnie, zakładając, że i tak nic nie zmienimy? Czy reputacja instytucji, do których się włamano, w dłuższej perspektywie ucierpiała, czy było to tylko chwilowe załamanie zaufania?
Odpowiedź na te pytania nie jest prosta. Warto jednak się nad nimi pochylić i zastanowić czy lepiej pewne rzeczy przemilczać czy wręcz przeciwnie.
Źródło: Inf. własna
Komentarze
9"Zaatakowane firmy (...) muszą sporo czasu poświęcić (na) odzyskanie zaufania klienta. Czasem niepotrzebnie utraconego(...)"
Albo tu:
"Czy lepiej pewne rzeczy przemilczać (...)?"
To tak na serio?!
Ja wiem, że dziennikarstwo to sztuka zanikająca. A już w szczególności etyka dziennikarska. W końcu po co marnować 5 lat na studia, a potem jeszcze narażać swoje imię na krytykę.
Ale czy na prawdę nikt już nie pamięta, że dziennikarz ma INFORMOWAĆ o faktach, a nie INTERPRETOWAĆ fakty ?!
Nie jest rolą dziennikarza oceniać co jest dla mnie ważne! Nie jemu też oceniać co jest wystarczającym powodem do utraty zaufania!
Jako odbiorca informacji mam dość rozumu, aby oceniać i podejmować samodzielne decyzje.
A jeśli go nie mam, to nie warto dla mnie w ogóle pisać czegokolwiek.
I to właśnie po to, żeby przestać z niego korzystać. Nie dlatego, że nastąpił wyciek. Dlatego, że nie dowiedziałem się o tym od razu, a powinienem był. Admin jeden wie, co jeszcze ukrywają...
Może jest jeden wyjątek, w którym mam pewne wątpliwości - atak na Cryptsy... Tyle że to nie był wyciek haseł, a kradzież BTC - to zupełnie co innego, bo sama firma poniosła straty finansowe. Do czasu gdy sprawa wyszła na jaw żaden klient nie ucierpiał. Chcieli dobrze, może by im się nawet udało odratować... Gdyby tylko stracili mniej.
Autor artykułu nie wie co pisze i nie rozumie problemu. W USA i EU trwają juz prace nad ustawami, które będą karać firmy, które nie informują o wycieku w ustalonym czasie.