FTC ostrzega: poufne dane 100 firm dostępne w P2P

Amerykańska Federalna Komisja Handlu (FTC) rozesłała do 100 firm z USA listy, w których informuje odbiorców o znalezieniu ich poufnych danych w publicznie dostępnych sieciach bezpośredniej wymiany plików (P2P). Ich wykrycie jest efektem śledztwa prowadzonego w sprawie wyciekania z amerykańskich firm i instytucji cennych informacji.

Wiadomo, że specjaliści pracujący dla FTC znaleźli w P2P m.in. informacje o stanie zdrowia pacjentów kilku przychodni, dane finansowe, kopie praw jazdy oraz numery ubezpieczenia społecznego. Adresatom listów - czyli poszkodowanym firmom - zalecono m.in. sprawdzenie i wzmocnienie systemów zabezpieczających poufne informacje, a także ostrzeżono ich, że narażenie danych klientów lub pracowników na wyciek jest przestępstwem federalnym. Nazw owych firm FTC na razie nie ujawnia.

"Komisja rozpoczęła już postępowania przeciwko kilku firmom, które nie wdrożyły odpowiednich zabezpieczeń, co zaowocowało nielegalnym udostępnieniem poufnych danych. Przypominamy też, że na firmach spoczywa obowiązek regulowania tego, jak ich pracownicy korzystają z zasobów informatycznych - w tym również z internetowych sieci bezpośredniej wymiany plików" - napisano w liście FTC.

Alain Sheer, prawnik z działającego w ramach FTC Biura Ochrony Konsumentów, mówi, że Komisja zamierza teraz zebrać szczegółowe informacje na temat wszystkich incydentów, i na ich podstawie ocenić, czy któreś z owych 100 firm dopuściły się jakichś drastycznych zaniedbań w dziedzinie ochrony poufnych danych. Takie postępowania są zwykle pierwszym etapem dłuższego procesu - często jego ostatnim epizodem jest złożenie formalnego pozwu przeciwko firmie. "Absolutnie nie oznacza to jednak, że zamierzamy składać pozwy przeciwko wszystkich adresatom naszego listu" - zastrzega Sheer.

"Takie działanie podjęte powinny zostać już dawno - ta sytuacja dobitnie pokazuje skalę zagrożeń, związanych z niekontrolowanym korzystaniem w firmach z aplikacji P2P" - komentuje Eric Johnson, profesor z School of Business z Dartmouth College. Johnson przypomina, że w ubiegłych latach doszło do wielu podobnych wycieków danych (niektóre były wręcz sensacyjne) i do tej pory wydawało się, że tak naprawdę nikt nie wyciągnął z nich odpowiednich wniosków.

Przypomnijmy, że w ubiegłym roku specjaliści z firmy Tiversa - specjalizującej się w monitorowaniu ruchu w sieciach P2P - znaleźli w jednym z systemów bezpośredniej wymiany plików szczegółowe poufne informacje na temat posiadłości prezydenckiej oraz plany przejazdów limuzyny prezydenta USA.

Również sam Johnson znajdował w P2P informacje, które raczej nie powinny być dostępne publicznie - jednym z nich było liczący blisko 1,8 tys. stron spis pełnych danych teleadresowych pacjentów pewnej przychodni. Podobną wpadkę zaliczył również koncern farmaceutyczny Pfizer - jeden z jego pracowników źle skonfigurował program do bezpośredniej wymiany plików i udostępnił w P2P dokument zawierający informacje nt. 17 000 pracowników firmu

Zwykle przyczyną takich wycieków jest właśnie błędne skonfigurowanie aplikacji P2P - użytkownicy najczęściej udostępniają w Sieci nie te foldery, które zamierzali. Powtarzające się incydenty sprawiły, że kilku amerykańskich polityków chciało nawet wprowadzić przepisy obligujace producentów oprogramowania do P2P do wprowadzenia szczegółowych instrukcji, które zapobiegałyby takim incydentom. Na razie jednak takich regulacji nie wprowadzono.