Będzie więcej ataków takich, jak na Sony

- Cyberprzestępcy coraz bardziej interesują się alternatywnymi źródłami informacji osobistych - mówi Timothy Armstrong, ekspert z Kaspersky Lab. - Sieci konsolowe cieszą się dużym zaufaniem użytkowników, ponieważ w ich historii nie wystąpiło tak wiele włamań jak w przypadku stron internetowych czy komputerów PC. Sprawia to, że usługi typu PlayStation Network stanowią coraz bardziej atrakcyjny cel ataków.

Kaspersky radzi, by osoby, których dane wyciekły, bacznie przyglądały się e-mailom, które otrzymują, a także na bieżąco monitorowali stan konta. Ponadto, jeżeli użytkownik korzystał z tego samego hasła w PSN oraz innych serwisach (e-mail, portale społecznościowe itp.), powinien je natychmiast zmienić, aby uchronić się przed przechwyceniem kolejnych kont.

Co może zrobić użytkownik?

Niewielu internautów przejmuje się na co dzień bezpieczeństwem swoich danych. Dlatego też nie każdy wie, jak zareagować, gdy pojawią się informacje o wycieku. Czy zwykły użytkownik jest w stanie sam wytropić, czy jego dane znalazły się w niepowołanych rękach, czy musi zdać się na działania firm?

Michał Sztąberek, prawnik i audytor, partner zarządzający, iSecure

Tak naprawdę ciężko jest sprawdzić, czy z danej firmy wyciekły dane osobowe. Najczęściej informacje o wycieku ogłasza albo sama firma, albo dowiadujemy się o tym z mediów. Jeżeli firma przykłada wagę do kwestii związanych z prywatnością, to dobrą praktyką byłoby niewątpliwie poinformowanie osób, których dane wyciekły o takim fakcie, a także wskazaniu, co taka osoba powinna zrobić np. zmienić hasło dostępowe, zastrzec kartę kredytową etc.

W przypadku wycieku danych osobowych (ale też w ogóle w zakresie ochrony dotyczących nas danych osobowych) zawsze możemy skorzystać z praw wskazanych w art. 32 ust. 1 ustawy o ochronie danych osobowych, wśród których znajdują się m.in. takie uprawnienia jak: możliwość uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze danych, możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Zawsze też istnieje możliwość złożenia skargi do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Szczegóły w tym zakresie można znaleźć na stronie GIODO.
Ponadto, jeżeli będziemy w stanie wykazać, że wyciek danych przełożył się na naruszenie naszych dóbr osobistych, istnieje możliwość dochodzenia odszkodowania na drodze cywilnoprawnej.

Z punktu widzenia internauty ciężko obronić się przed wyciekiem danych osobowych. Kwestie związane z bezpieczeństwem danych to domena firmy, która te dane pozyskiwała (jest w stosunku do nich administratorem danych). Na pewno jednak można stosować się do jednej prostej zasady – stosować różne hasła do różnych serwisów www, gdzie tworzymy sobie profil lub zakładamy konto. Hasło takie nie powinno być łatwe do złamania, dobrze by było, żeby składało się ono z min. 8 znaków (kombinacja wielkich i małych liter, znaków specjalnych lub cyfr).

Kiepski PR Sony

O tym, że z systemu PlayStation Network wyciekły dane, użytkownicy dowiedzieli się dopiero kilka dni po incydencie. Sony długo zwlekało z oficjalnym oświadczeniem w tej sprawie, a przeprosiny pojawiły się dopiero w ubiegłym tygodniu. Jednocześnie sieć wciąż pełna jest domysłów i nieoficjalnych informacji. Krążą plotki między innymi o sprzedaży bazy numerów kart kredytowych, w tym również zawierających kody CVV2. Sony, póki co, nie odniósł się do tych informacji.

Sebastian Łuczak, właściciel, Łuczak PR

Wydaje się - i jest to bardzo zaskakujące - że Sony nie było dobrze przygotowane na tego typu ewentualność. A jest to przecież w sumie mało zaskakujące zdarzenie. W tym sensie, że należy do grupy kilku podstawowych potencjalnych kryzysów, które mogą dotknąć tego typu firmę.

Porządnie zarządzana organizacja powinna więc mieć na to przygotowaną procedurę - nie tylko schemat zachowania i reakcji, ale także komunikacji. A wydaje się (powtarzam, że wydaje, bo przecież nie wiemy na pewno), że Sony nie było komunikacyjnie przygotowane: za duże opóźnienia, wpadki typu tłumaczenie automatyczne - czyli na chybcika robione, a nie wcześniej przygotowane, bardzo mała interakcja z osobami dotkniętymi problemem lub zainteresowanymi głębiej tematem.

To są symptomy działania w panice i bez wcześniejszego przygotowania. To banalne dosyć stwierdzenie, ale naprawdę kluczową sprawą dla łagodnego przejścia kryzysu jest przygotowanie się do niego wcześniej, kiedy jest czas, można wszystko przemyśleć, dopieścić itd. I w razie czego "wyciągnąć z pudełka". Działanie na bieżąco, w nerwach, pod presją i przy dramatycznym braku czasu prawie nigdy nie jest wystarczająco skuteczne.

Problemem jest również wyciek numerów kart kredytowych. Jak wskazuje na blogu Olgierd Rudak, prawnik, Sony zamiast nakazać użytkownikom zastrzeżenie kart, wspomniał jedynie, że należy monitorować swoje rachunki.

- W równie interesujący sposób do bezpieczeństwa swoich klientów podszedł także mBank, który - na swoim, bardzo poczytnym, forum internetowym - ograniczył się do stwierdzenia, że "istnieje możliwość zastrzeżenia kart, którymi dokonywano transakcji w serwisach należących do Sony". Moim skromnym zdaniem rolą banku powinno być w takiej sytuacji automatyczne zablokowanie wszystkich kart, które mają w swojej historii ślady operacji przeprowadzonych w każdym serwisie, który padł ofiarą kradzieży danych (i poinformować o tym klientów) - zaś pisanie o "istniejącej możliwości" brzmi niepotrzebnie uspokajająco - pisze.

Przejdź na kolejne strony artykułu:

1 | 2 | następna

Napisz komentarz

× Trwa zapisywanie komentarza...

× Twój komentarz został dodany!

Komentarze (1)

Robert Zgoda zgłoś nadużycie
05.05.2011 / 12:08

Dlaczego Sony nie skorzystało z oferty hackerów odkupienia bazy? Według mnie byłoby to tańsze rozwiązanie niż narażenie się na pozwy od klientów, które niewątpliwie będą, może nie w Polsce, ale w Stanach na pewno.