10 comments
Comment from: Cristian Banu
Comment from: Max
Am prins si eu stirea…
Cazul se inscrie (cu succes, din pacate) in seria neagra a incidentelor de securitate in care faptuitorii sunt…proprii angajati ai sistemului (guvern, institutii, companii etc).
Putem gasi aici mai multe de comentat:
1. informatia trebuia livrata beneficiarului in conditii de maxima securitate, daca s-ar fi respectat reglementarile tip INFOSEC (si pe care, cu siguranta, agentiile guvernamentale din UK le au implementate). Chiar este de neinteles de ce s-a apelat la serviciul de curierat al unei firme si nu s-a folosit un canal securizat de transport al datelor in format electronic, asa cum ar fi fost normal. Imi este greu sa cred ca instituiile guvernamentale britanice nu sunt conectate la o retea securizata de transport date.
2. “pierderea” celor 2 CD-uri, dincolo de aspectul hazliu, ma face sa ma gandesc, totusi, la o oarecare conspiratie. Sa vedem pe cine vor scoate vinovat…
3. Crearea unei BD nu este ceva de speriat. Sa nu pierdem din vedere ca asemenea BD exista (la nivelul statului sau al unora dintre institutiile private). In opinia mea, o BD unica nu comporta aspecte de securitate insemnate, atat timp cat BD componente sunt replicate intr-o locatie sigura, cu back up la distanta etc.,iar profesionisti in securitatea informatiilor se ocupa permanent de administrarea ei.
Ca o concluzie, pot sa remarc faptul ca in Romania (asa cu bube cum o vad unii…) un astfel de eveniment nu s-a intamplat pana in momentul de fata.
Sa nu uitam, insa, de “the enemy within"…!
Max
Comment from: Max
Teoria conspiratiei se pare ca este impartasita si de media britanica:
vezi: http://politics.guardian.co.uk/economics/story/0,,2215025,00.html
Comment from: Sabin Iacob
principala problema cu o baza de date centralizata e ca incompetenta unui functionar poate compromite foarte multa informatie; cu cat mai multe date la un loc, cu atat mai mare paguba.
in cazul englezilor, it was a disaster waiting to happen… trimiterea de date confidentiale prin posta e o chestie destul de raspandita in vest: bancile frantuzesti, de exemplu, insista sa trimita datele confidentiale prin posta, si pe post de “security devices” au niste cartonase plastifiate cu numere pe ele, spre deosebire de bancile de la noi care folosesc dispozitive criptografice electronice.
Comment from: SG
Nu cu mult timp in urma si americanii au facut o chestie de genul asta cu datele tuturor veteranilor [nu mai tin bine minte parca 37 milioane de persoane]
Problema zic eu e urmatoarea: se fac niste politici de securitate, mai mult sau mai putin bune [gen cum amintea Max de INFOSEC], insa oamenilor care trebuie sa aplice aceste politici/tehnici/proceduri li se explica doar CUM si nu DE CE. Astfel ca ei nu pricep de ce trebuie criptate datele de exemplu.
Concret, indiferent prin cine trimiteau acele date, informatia trebuia criptata [preferabil asimetric] astfel incat si daca ar fii pus documentul public pe internet sa nu o poata descifra “inamicul” in urmatoarea suta de ani.
Despre partea cu baza de date centrala care nu ar fii un pericol cum zice Max - vad un pic diferit situatia: nu e o problema ca exista mai multe BD la diverse institutii [politie rutiera, impozite, graniceri, sanatate] si nici macar in faptul ca aceste baze de date interactioneaza intre ele.
Insa imi pare f grav ca accesul si interactiunea dintre aceste BD nu e reglemetata cu adevarat cu gandul la protectia vietii private. Si asta nu doar in .ro. Ceea ce au facut englezii acum poate fii un accident, insa daca te gandesti cat de rapid si usor are acces la toate informatiile o persoana autorizata “rau-voitoare” iti dai seama ca de fapt politicile de securitate trateaza alte probleme decat securitatea datelor. Deocamdata imi pare ca politicile de securitate urmaresc doar sa asigure ca persoane cu nivel “mic” de acces nu ajung la informatii confidentiale la care nu ar trebui sa ajunga. Insa asta e nu implica decat partial securitatea datelor.
Intr-o tara cum e a noastra unde mass-media intra in casa omului deodata cu trupele anti-tero, unde nu conteaza deloc prezumtia de nevinovatie, unde “probe” din dosare ajung in mass-media inainte de a ajunge in instanta, unde apar scandaluri politice mereu bine plasate exact inainte unor alegeri/decizii/etc .. va vine sa spuneti ca e o “teorie” a conspiratie ? Sau e o probabilitate semnificativa ?
Asta ca Romania o cunoastem mai bine insa n-am inventat noi nici bazele de date si nici santajul. Ca pana la urma o baza de date ‘completa’ despre fiecare dintre noi duce la o tentatie extrem de puternica, la un risc exagerat ca cineva sa o foloseasca la santaj .. nu neaparat direct. Stiu daca suntem cinstiti nu avem de ce sa ne fie frica de santaj - se pare ca am uitat deja perioada comunista: preferam sa nu ne aducem aminte ca in timp ce unii aveau grija sa nu spuna bancuri nepotrivite oricui, altii totusi erau la inchisoare sau sapau la canal fara sa fie infractori.
Si mai duce la inca un risc: modificand baza de date sa obtii chiar efecte in realitate [uneori doar temporare].
Pentru cei prea optimisti recomand urmatorul link: http://www.mcti.ro/index.php?id=28&L=&lege=1353 La finalul paginii exista studiul respectiv in format pdf. Chiar autorii studiului s-au speriat de ideea ca un functionar poate face “minuni“ prin acele date din necunostinta sau rea-vointa. Deci, de studiat ce ni se pregateste.
Comment from: Max
Interesant studiul de la MCTI. Cu toate acestea, insa, tendinta este sa ajungem din urma (atat cat se va putea) statele “dezvoltate” in materia guvernarii electronice (e-government). Nu numai taxele si impozitele vor fi abordate online, ci multe alte sectoare de activitate, pe doua paliere importante: citizen-oriented si business-oriented.
Revin la bazele de date. Nu unicitatea (sau, ma rog, replicarea lor intr-un puct unic) reprezinta pericolul major. Intrucat, pot exista brese inclusiv in sistemele detinute de diverse institutii.
La un sistem unic (integrat), avantajul este ca exista o singura echipa de administrare (gestionare) a sistemului. Aceasta este mai usor de verificat si supravegheat decat cele 10-20 de institutii care acceseaza, folosesc sau transmit informatii (date etc).
Sigur, nici un sistem nu este sigur, insa putem sa minimalizam riscurile…
Comment from: Max
INTERESANT !!!!
Potrivit mass-media britanica, inca 2 CD-uri cu date de nastere si asigurari de sanatate ale catorva milioane de cetateni au fost, din dou, PIERDUTE !!!!
Si aceste date fusesera trimise unei institutii guvernamentale prin POSTA !!!!
Comment from: Sorin Alexandreanu
Salut.Ce e si mai curios e ce se intampla cu back-up lor?Adica scrii 2 cd-uri(ce format aveau datele a 25 de MILIOANE de persoane de incapeau pe 2 cd banale), dar trebuie sa scrii de undeva informatia pe suport fizic, acolo nu mai e?Si de ca sa o tot dam inainte cu INFOSEC, cand la noi sunt obligati unii contribuabili sa vina cu disketa la institutii sa arate evidentele contabile, cand se putea face o conexiune criptata, etc.De ce ar fii ei mai rasariti:).Oricum, mie mi se pare ca stirea suna cam infantil.2 cd, pierdute, datelele a 25 de milioane de oameni,si prob ca tin serverul pe un Win 2000 la 133.
Comment from: bogdan
Cezar imi trimite urmatorul comentariu (din pricina unor probleme neidentificate nu a reusit sa-l posteze):
Salut tuturor,
Referitor la pierdere. Nu ma mira. Factorul uman este un risc. Dar daca guvernul englez ar fii fost putin atent la seea ce ISO-ul 17799/27001 spune la ” 10.8.3 Physical media in transit” ca daca datele sint sensibile atunci ar trebui trasportante in container special. Dar datele se pare ca nu au fost criptate cum se prevede in iso-ul respectiv (10.8.2 Exchange agreements paragraf K) ci doar parolate.
Hmmm..prima problema pe care o vad eu este ca procesul de clasificata a informatie in cadrul guvernului britanic are probleme. Daca datele ar fii fost cu adevarat senzitive atunci ar fii trebuit criptate. Datele insa nu par sa fii fost atiti de importante. Dar atunci de ce tot show-ul cu scuzele premierului la televizor?
De ce s-a folosit alt canal de transmitere a datelor? Pentru ca probabil date erau totusi importante si conform aceluiasi paragraf…s-a ales o alta modalitate de livrare a datelor sau exista intre guvern si partenerul respectiv doar un anumit tip de relatie de confidentialitate care insa nu justifica un canal electronic securizat.
O baza unica…Din pacate impotriva acestui vis al oricarui guvern este prea tirziu sa mai ne rasculam. Din punctul de vedere al unui specialist de securitate …acele calculatoare nu ar trebui legate in nici o retea si nu ar trebui sa schimbe date cu nimeni decit ..prin cd-uri :-D.
Bazele de date exista…si vor evolua continind din ce in ce mai multa informatie. Important este ca societatea actuala sa poate decide ce anume este salvat si in ce forma anumite organizatii guvernamentale pot avea access. Si daca nici asta nu ajuta ..trimitem toti politicienii sa vada filmul Die Hard v4.0 si atunci le arata sigur Bruce de ce nu e bine sa existe o baza unica.
Nici un control de securitate nu poate asigura 100% împotriva factorului uman. Cred că aici trebuie puse în balanţă beneficiile economice ale existenţei unei baze de date unice cu probabilitatea unei probleme de securitate. Sunt sigur că în cazul de faţă erau luate toate măsurile de securitate necesare, mai puţin cele împotriva imbecilităţii. E o lecţie interesantă despre securitatea informaţiilor.