22:44
27/10/2011

Jak informuje Wyborcza, jeden z byłych pracowników ministerstwa ds. socjalnych udostępnił w internecie dane osobowe 9 milionów mieszkańców Izreala (w tym 2 milionów zmarłych).

Co wykradzino?

Wszystko wskazuje na to, że udostępnione dane to “tylko” imię, nazwisko, data urodzenia. Wyborcza porównuje wyciekniętą bazę do bazy PESEL. Zanim dane trafiły do internetu były sprzedawane za równowartość kilku tysięcy złotych. Powód umieszczenia danych w internecie? Zemsta. Za zwolnienie z pracy w 2006r.

Nie zwalniaj pracownika bo…

Odegranie się na pracodawcy w naszych zinformatyzowanych czasach to zjawisko coraz powszechniejsze. Jak pokazują badania, 88% pracowników z branży IT zadeklarowało wykradzenie danych z systemów swojego pracodawcy w przypadku zwolnienia.

Przypomnijmy incydenty spowodowane przez wyrzuconych z firmy Gucci (kasowanie serwerów wirtualnych), z firmy farmaceutycznej (88 serwerów skasowanych), od dealera samochodów (100 samochodów zdalnie unieruchomionych) oraz zdarzenie z miasta San Francisco, którego sieć WAN została zablokowana po tym jak zwolniony administrator zmienił hasła i nie chciał ich podać.

Pamiętacie włamania do Sony PSN? Sporo osób zauważyło, że nastąpiły one krótko po zwolnieniu 200 pracowników z działu IT…

Przeczytaj także:

43 komentarzy

Dodaj komentarz
  1. omfg…
    A to nie jest czasem tak, że pracownik podpisuje jakąś lojalkę, że nie zabierze ze sobą danych po odejściu ?
    No i te 88% w badaniu ‘trochę’ daje do myślenia…

    • Nie jest tak, a przynajmniej nie ma takiej potrzeby. Kradzież, ujawnienie czy wykorzystywanie danych stanowiących tajemnicę przedsiębiorstwa jest przestępstwem. Regulują to m.in. art. 100 § 2 pkt 4 kodeksu pracy i art. 11 ustawy o zwalczaniu nieuczciwej konkurencji.

    • Ciekawe, czy w głowie można wynieść.

    • wynieść w głowie można, ale juz rękoma czy językiem wyjawić nie bardzo ;)

  2. Wniosek jest dla mnie prosty. Po pierwsze dobrze opłacać swoich speców, po drugie dobry cyrograf, po trzecie odpowiednia polityka bezpieczeństwa dotycząca dostępu do danych.

    • Co ci da cyrograf jak 100 pracowników ma dostęp do tych samych danych, a miesięcznie zwalniasz 5. Który z nich “wyciekł”?

    • Kluczem jest rozliczalność (accountability) systemu – wtedy łatwo namierzyć delikwenta, który wyciągnął z niego komplet danych. Natomiast gdy dostęp do tych samych danych oznacza dostęp do listy klientów w arkuszu excela, to trudno w ogóle mówić o bezpieczeństwie danych.

    • Ciekawe kto miał dostęp do tych danych w ministerstwie? Ciekawe czy koderzy pracowali na danych “solonych” czy realnych? Ja swojego czasu w zagranicznym zatrudniaku jako programista pracowałem na realnych! danych osobowych, z dostępem do CVłek itp itd… Także tego..

    • @CapaciousCore – wszystkie zakazy jedynie ograniczaja prawdopodobienstwo wyrzadzenia szkody, filtruje mozliwosci itd.. Jesli nie przywroci sie normalnych relacji zaufania, nie ma takich organizacji ktore nie ucierpia na wzajemnym cwaniactwie, niestety. O to jednak ciezko kiedy relacje sa miałkie, zysk buduje sie regulujac liczbe pracownikow :), a innowacja zmieniona zostala zredukowania do zaplanowanych dzialan. Niestety.

  3. “wyciekniętą bazę” – a nie powinno być “wyciekłą bazę” ?

  4. Jest specjalny “dział” logiki zajmujący się badaniem systemów, w których poszczególne części mają mieć jak najmniejszą wiedzę o zadaniach innych części i celu ostatecznym. W skrócie – czy da się sprawić, żeby grupa naukowców i inżynierów stworzyła bombę atomową i nikt z nich nie wiedział co robi.

    • Oczywiście. Dowcip masowego rażenia stworzony przez Brytyjczyków podczas II Wojny Światowej tłumaczony był na język Niemiecki po jednym słowie. Jeden z tłumaczy przypadkiem zobaczył dwa i spędził kilka tygodni w szpitalu.

  5. Jak informuje Wyborcza, jeden z byłych pracowników ministerstwa ds. socjalnych udostępnił w internecie dane osobowe Nie. Wg gazety były urzędnik wyniósł te dane i przekazał komuś innemu. Dane sobie krążyły między ludźmi, aż ktoś inny upublicznił je w sieci.

    • Dzięki za wycięcie cudzysłowów, apostrofów, trójkątnych nawiasów i znaków końca linii – znakomicie ułatwiło to czytanie powyższego komentarza.

  6. Ja myślę, że to jakiś żydowski spisek :)

  7. @up: Tak, ale lepszy przykład jest bliżej – nasze państwo też tak działa ;)

  8. 88%… Musiałam to przeczytać 3x…

  9. po pierwsze te 88% pracownikow IT ma tyle wspolnego z administracja co kaktus ze szczoteczka
    po drugie zaden szanujacy sie admin nie zrobilby takiego “facepalma” bo krotko mowiac nie popracowal by juz nigdzie indziej, juz nie mowiac o pracy IT
    po trzecie, jesli firma ma na tyle debilnego “zamiennika” ze jeszcze przed opuszczeniem “wanabeadmina” z firmy nie sprawdzi i zmieni hasel dostepu plus info o tym do czego mial dostep w paru ostatnich tygodniach, to nie widze zadnego sensu sie uzalac nad nimi
    fakt, bola mnie takie sprawy bo niestety zle swiadczy o wiekszosci adminow w opini publicznej i dlatego pozniej userzy tak sie zachowuja w stosunku do adminow, jak sie zachowuja
    ps. to nie byl pracownik IT tylko zwykly “biurowiec” wiec reszta artykolu jest troche mylaca

    • Po czwarte – badania są sponsorowane przez producenta zabezpieczeń…. :). Tak więc ostrożnie bym podchodził do tych 88%.

  10. Ten “dżony” to nie był pracownik IT, ale jak wyciekło do internetu to można spokojnie zrobić dyskusję na temat wyciekających danych przez pracowników IT.

  11. Nie powiem, skrót wiadomości w Readerze zdecydowanie zachęcił do przeczytania całości (która, jednak okazała się nie tak spektakularna): http://i43.tinypic.com/34yd7ie.jpg Przypadek, czy celowa edycja artykułu? ;)

  12. wystarczy przed powiedzeniem pracownikowi o zwolnieniu odłączyć go od komputera oczywiście nie zda to rezultatu jak pracownik zgrał sobie wcześniej jakieś dane – ale uchroni np przed zmianami haseł/ kasowaniu danych pozdrawiam

    • Dwa słowa: bomba logiczna. Wykorzystywane to było już w praktyce przez pracowników IT.

  13. Dla mnie to takie wykradanie danych, czy inny wandalizm to dość krótkowzroczna polityka. Opinię bardzo prosto sobie zepsuć, a na co komu takie dane poza środowiskiem, w którym mają mierzalny sens? Bezsens…

  14. @Buła – tak robiono w trakcie masowych zwolnień w bankach (po upadku Lehman Brothers). Ludzie szli np. na przerwę na papierosa, a po powrocie zastawali zablokowaną stację roboczą. Po czym podchodzili panowie z ochrony i odprowadzali delikwenta do podstawionej już taksówki razem z jego rzeczami…

  15. Ale dane osobowe to coś więcej niż tylko Imię, Nazwisko i data urodzenia. Potrzebny jest jeszcze adres zamieszkania i PESEL. Wtedy jest komplet. Książki telefoniczne kilkanaście lat temu udostępniały więcej danych osobowych, bo umożliwiały namierzenie osobnika posiadającego telefon. Z resztą nadal umożliwiają, szczególnie starsze osoby, które wciąż mieszkają pod tymi samymi adresami. Weźcie dowolną starą książke telefoniczną, wybierzcie losowo numer uwzględniając nową numerację (np. 0 lub 6 przed numerem) i dzwoniąc zapytajcie o imię i nazwisko. Lekko się zdziwicie.

  16. Ten tytul, a konkretnie jego czesc (tj. mieszkańców Izraela) w porownaniu z 2 razy wystepujaca w tekscie liczba 88 made my day ;)

  17. W USA furorę robią systemy DLP, myślę że takie podejście do ochrony informacji to przyszłość. U nas rynek zaczyna już być świadomy tego typu systemów. W połączeniu z szyfrowaniem jest to sposób na tego typu wybryki

    • Jak DLP ochroni przed pracownikiem z aparatem w telefonie komórkowym? DLP to “security buzzword” — każda osoba z IQ powyżej temperatury pokojowej jest w stanie ominąć zabezpieczenia DLP. A jeśli kraść ma sprzątaczka/klepacz faktur, to nauczy się go jak to robić.

    • DLP to taka sama ochrona ja kamery atrapy , tudziez dioda w samchodzie

    • Przykładowy scenariusz:
      1) w domu robię sobie stronkę z kontrolką “FILE” i “SUBMIT” i do tego jakiś prosty skrypt server-side do obsługi uploadu;
      2) powyższe wrzucam na jakiś serwer, tam będą również lądowały odbierane pliki;
      3) dla pewności dorzucam .htaccess i tym samym zabezpieczam stronę hasłem;
      4) przychodzę do pracy;
      5) interesujące mnie zasoby kompresuję do zaszyfrowanego archiwum ZIP;
      6) wchodzę na swoją stronę po SSL (sprawdzając czy odcisk klucza jest taki sam jak wtedy kiedy łączę się spoza zakładu);
      7) pliczek ZIP wysyłam;
      8) kasuję wpis w historii przeglądarki i ZIPa na kompie usuwam.
      W jaki sposób DLP mógłby coś takiego zablokować?

    • W DLP jest np. idea “brudzenia danych”. Np. plik z planem nowego samolotu ma dowiązane systemowo metadane. Jeśli wykryte zostanie przez DLP, że chcesz go spakować/skopiować/usunąć/załączyć/etc. to DLP reaguje warningiem/blokadą (pierwsze lepsze niż drugie). Oczywiście odpowiednio technicznie świadoma osoba znajdzie obejście ;)

    • @Marcin Maziarz: Ad. 5) Wszystko zależy od charakteru bazy i tego w jaki sposób jest ona przetwarzana. O ile system jest dobrze zaprojektowany, to w tym miejscu, przy pobieraniu danych z bazy w ilości większej niż standardowo wykorzystywane do pracy, pozostawiasz po sobie mnóstwo logów o dostępie do niestandardowo dużej ilości danych. Powinno to conajmniej wzbudzić pewne podejrzenia o ile logi dostępu są audytowane. Druga sprawa to upload dużej (pytanie jak bardzo dane można skompresować) ilości danych “poza organizację” po szyfrowanym łączu.
      W przypadku DLP trudniejsze do wykrycia wydaje mi się medium offline: USB / Gaga CD – vel Manning (; albo obejmując oba kryteria (download + wyprowadzenie) – dostęp do kopii zapasowych.
      @PK: DLP nie daje 100% możliwości zapobiegnięcia wyciekowi danych ale na pewno zmniejsza ryzyko możliwości wycieku takich danych oraz ma dużą skuteczność w przypadkach, kiedy do takich działań posuwa się zdesperowana osoba, w szczególności nie mająca w ogóle świadomości o stosowanych metodach zabezpieczeń.
      Jak to w security bywa – ważne, żeby metody zabezpieczeń były dostosowane odpowiednio do charakteru danych, które chronią oraz środki na to przeznaczone odpowiadały ryzyku przeprowadzenia ataku na jakie te dane są narażone. W przypadku odpowiednio zdeterminowanego intruza (kolejny ostatnio modny buzzword: APT) nigdy nie jesteś się w stanie zabezpieczyćw 100%, czy to będzie zabezpieczenie przed 0-day (Stuxnet), wewnętrznym wyciekiem (Cablegate), czy brak odpowiednich procedur (szkoleń) / źle zaprojektowany \ utrzymywany system (RSA, Comodo). Ważne jest by _*minimalizować*_ to ryzyko.

  18. Są specjalne nakładki na ekran, polityka – brak możliwości korzystania z telefonów komórkowych w miejscu pracy – są stacjonarne – kamery.
    Jakie są inne możliwości ominięcia DLP???
    Agent DLP jest zazwyczaj mocno ukryty na stacji i pracownik nie wie o jego istnieniu i takie jest założenie.

    Nie każdy handlowiec lub kierownik jest technicznie ogarnięty.

    Podaj sposoby jak ten gość ze średnim IQ chce sobie jeszcze poradzić???

    • DLP należy rozpatrywać nie jako remedium na wyciek danych z firmy ale jako środek pomocniczy. DLP ma informować pracownika, który przez pomyłkę załaczył inny plik do e-maila: “wysyłasz numery kart kredytowych — czy na pewno chcesz to zrobić?” — a więc zakłada się współpracę z i jakieś ograniczone zaufanie do człowieka.

    • @PK: IMHO mylisz narzędzia weryfikowania polityki bezpieczeństwa jakim jest DLP z narzędziami do edukacji kadry w zakresie polityki bezpieczeństwa. Od tego są szkolenia oraz odpowiednio zaprojektowane i wdrożone tzn. zrozumiałe dla każdego procedury.

    • @d3llf: nie, po prostu jestem zdania, że nie ma skutecznego DLP, a nieskuteczny (z definicji) DLP powinien być wdrażany wyłącznie jako pomoc/przypominacz. Oczywiście można się kłócić, czy sprzątaczka == programista i czy z taką samą łatwością obejdą DLP — ale jeśli ktoś chce wynieść z firmy dane, to zadba o zniwelowanie tej różnicy w odpowiednim zakresie.

  19. Tymczasem dane osobowe europejczyków będą przechowywane właśnie w… Izraelu.
    http://czerwonykiel.blogspot.com/2011/08/jak-to-twoje-dane-osobowe-moga-trafic.html

  20. [i]”…Zanim dane trafiły do internetu były sprzedawane za równowartość kilku tysięcy złotych. Powód umieszczenia danych w internecie? Zemsta. Za zwolnienie z pracy w 2006r….”[/i]
    Czyli pracując tam handlował tymi danymi, a jak go zwolnili, to je wrzucił do Sieci? Po pięciu latach? To się kupy nie trzyma.

  21. […] Przypominamy niedawną ankietę, mówiącą iż 88% pracowników działów IT wyraziło chęć wykradzenia firmowych danych w momencie zwolnienia z […]

  22. […] wykradać dane klientów swojej firmy, gdyby wiedzieli, że niebawem czeka ich zwolnienie — aż 88% odpowiedziało że tak (żartuje się, że pozostałe 12% już te dane i tak ma skopiowane…). To daje do myślenia […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.