Wyciek danych w InPost - komentarz Deloitte

Marcin Lisiecki 25-08-2017, 10:35

Z informacji, które opublikował portal zaufanatrzeciastrona.pl wynika, że doszło do wycieku danych ponad 57 tysięcy pracowników i współpracowników firmy InPost, listy użytkowników systemów informatycznych wraz z ich hasłami dostępowymi oraz listy około 140 klientów firmy.

Opublikowane dane najprawdopodobniej pochodzą m.in. z aplikacji wspierającej zarządzanie ochroną danych osobowych w firmie. Szczegóły dotyczące sposobu przeprowadzenia samego ataku nie są w tej chwili znane.

Wyciek danych, z którym mamy tutaj do czynienia pokazuje, że przestępcy starają się wykorzystać najprostsze sposoby kradzieży poufnych informacji. Próba ataku na dobrze zabezpieczony system do zarządzania relacjami z klientem może być czasochłonna i wymagać sporych umiejętności. O wiele łatwiej jest włamać się do systemu, który dotychczas nie był w wystarczający sposób zabezpieczony, a jego zabezpieczenie nie było priorytetem dla kadry zrządzającej daną firmą. Luki w aplikacjach, brak realnych testów bezpieczeństwa, poleganie wyłącznie na formalnych procedurach i nagminne przechowywanie haseł w postaci nieszyfrowanej, ułatwiają przestępcom działanie. Nie pomaga również niska świadomość oraz brak inwestycji w cyberbezpieczeństwo przy jednocześnie rosnącej zależności firm od technologii. Przewidujemy, że ilość i skala wycieków danych będzie się zwiększać, a na pewno nasza wiedza na ich temat.

Europejskie rozporządzenie dotyczące ochrony danych osobowych, które zacznie obowiązywać w przyszłym roku wymagać będzie informowania regulatora o wyciekach danych w czasie nie dłuższym niż 72 godziny. Analiza wielu incydentów pokazuje, że od ataku do wyprowadzenia danych z organizacji mijają minuty, godziny lub dni. Natomiast czas od złamania zabezpieczeń do zorientowania się, że do niego doszło liczony jest w dniach lub miesiącach. Większa część organizacji na polskim rynku do tej pory nie wdrożyła mechanizmów, które pozwalają na monitorowanie swojego bezpieczeństwa oraz szybkie reagowanie w przypadku potencjalnych incydentów. Czy zmienią to potencjalne kary nakładane przez regulatora liczone w milionach euro lub do 2 proc. światowego przychodu danej organizacji? Czas pokaże.

 Autor komentarza: Marcin Lisiecki - Menedżer, Dział Cyberbezpieczeństwa, Deloitte


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Listy
Listy  
« Sierpień 2019»
PoWtŚrCzwPtSbNd
 1234
567891011
12131415161718
19202122232425
262728293031