Dane jak ropa: czy jesteśmy przygotowani na prawdziwą katastrofę?
- Józef Muszyński,
- IDG News Service,
- 30.05.2010, godz. 20:09
Działania Google stały się zaś przedmiotem zainteresowania Federalnej Komisji Handlu, która ma prowadzić dochodzenie w sprawie podsłuchiwania przez Google niezabezpieczonych sieci Wi-Fi. Google zbierała dane (m.in. SSID i adresy MAC) w celu stworzenia dokładniejszej mapy Google Maps, zwłaszcza rozbudowy usługi StreetView.
W pewnym sensie każdy z tych incydentów jest odpowiednikiem wycieku danych. Są to przykłady działań, w których nazbyt ambitne firmy porywają się na coś więcej niż mają prawo. Mark Zuckerberg, szef Facebooka przyznał, że niektóre decyzje były podejmowane bez uwzględnienia opinii samych użytkowników i zapowiedział uproszczenie konfigurowania ustawień prywatności. Z kolei Google poinformowała, że samochody zbierające dane dla usługi StreetView przestaną namierzać sieci bezprzewodowe, a wszystkie zebrane dane zostaną zniszczone. Firma oświadczyła też, że żadne z tych danych nie były użyte w produktach Google.
Zobacz również:
- Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
- Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania
W pewnym sensie ostatnie incydenty z Facebook-iem i Google są odpowiednikiem wycieku danych. Są to przykłady działań, w których nadmiernie ambitne firmy porywają sie na coś więcej niż mają do tego prawo.
Katastrofa wisi w powietrzu?
Jakie jest więc prawdopodobieństwo, że w najbliższej przyszłości któraś z tych firm może doświadczyć wycieku danych na skalę katastrofy w Zatoce Meksykańskiej? Jak można było zaobserwować w ostatnich latach, bezpieczeństwo online nadal pozostaje dalekie od doskonałości. Dostawca rozwiązań ochronnych Veracode, twierdzi, że prawie 60% aplikacji nie przechodzi pierwszej rundy jej testów bezpieczeństwa, a nie ma większych powodów, aby wykluczyć z tej statystyki sieci społecznościowych. Z kolei według WhiteHat Security, firmy prowadzące sieci społecznościowe mają 82% szansy na to, że ich witryny mają krytyczne, nierozwiązane lub pilne usterki.
Wycieki danych na mniejszą skalę już miały miejsce. W styczniu br. Google pomyłkowo wysłała pocztą elektroniczną potencjalnie wrażliwe dane do klientów swojej usługi Local Business Center. W kwietniu br. iDefense, oddział VeriSign, podał, że ktoś ukrywający się pod nazwiskiem Kirllos oferował do sprzedaży, na podziemnym forum hakerów, 1,5 mln kont i haseł Facebook. Wygląda na to, że - tak jak w biznesie naftowym - pewna liczba wycieków jest faktem wziętym "prosto z życia" biznesów zajmujących się danymi.
Jak dotychczas skala tych incydentów jest niewielka, w dużej części z powodu ich ograniczonego zakresu i rodzaju danych, które wyciekły. Jednak, kiedy firmy te zgromadzą dane identyfikujące indywidualne osoby i powiążą takie bazy danych w nowy, bardziej innowacyjny sposób, prawdopodobieństwo większej katastrofy wzrośnie. I tak, jak nie będzie możliwe wystawienie BP rachunku za pełne skutki środowiskowe katastrofy Deepwater Horizon, prawdziwe koszty większych wycieków danych także będą trudne do wyliczenia. Ekonomiczne skutki kradzieży tożsamości, phishingu, nadużyć i szpiegostwa przemysłowego często pozostają nieujawnione, a tym samym i nierozliczone. Mimo to dla konkretnych osób i biznesów tym dotkniętych, zniszczenia mogą być dotkliwe i długotrwałe.
Niektórzy analitycy uważają, że ponieważ większe wycieki mogą potencjalnie wywoływać odpowiedzialność karną, firmy operujące zbiorami danych będą w sposób naturalny stawiać na bezpieczeństwo. I tak Facebook zapowiada poprawienie bezpieczeństwa poprzez połączenie środków technologicznych i prawnych. Jednak dopóki firmy postrzegają swoje bazy danych jako kluczowe zasoby biznesowe - zarówno do użytku wewnętrznego, jak i udostępniania innym firmom - istnieją zawsze potencjalne możliwości, że wrażliwe dane dostaną się w niepowołane ręce.