Strona 31 z 47

: 23 lut 2013, 21:08
autor: asq
KE planuje przykręcić śrubę firmom, które, jak ZTM nie radzą sobie z incydentami bezpieczeństwa i/lub zatajają je przed klientami.
W dniu wczorajszym Komisja Europejska wraz z Wysokim Przedstawicielem Spraw Zagranicznych i Polityki Bezpieczeństwa postanowiła wdrożyć nową strategię cyber bezpieczeństwa. W tym celu przedstawiła projekt dyrektywy, który mówi o sposobie realizacji samej strategii i sposobie jej wdrożenia na terenie wszystkich krajów Unii Europejskiej.

W dyrektywie tej pojawił się zapis, który stanowi, że każdy kraj członkowski powinien stworzyć specjalne biuro czyli CERT – Computer Emergency Response Team. CERT miałby być sztabem kryzysowym, który zajmowałby się wszystkimi sprawami ataków hakerskich, a także badać sprawy związane z wyciekami danych osobowych i atakami malware. Dodatkowo, CERT miałby za zadanie przygotować sposób radzenia sobie z takimi atakami, czyli po prostu przygotować plan zarządzania kryzysowego w razie ataków hakerskich.

[...]

Problem w tym, że podmioty prywatne mogą nie chcieć współpracować w tej dziedzinie. Powodem tego może być po prostu strach przed utratą klientów i nadszarpnięciem wizerunku marki. Zasadniczo nikt nie chce ujawniać swojej słabości, bo może to spowodować negatywny oddźwięk w mediach, utratę zaufania do marki, straty na giełdzie i ucieczkę klientów do konkurencji.

Sama Neelie Kroes, wiceprzewodniczący Komisji Europejskiej podczas swojego wystąpienia  powiedział: „Wiele podmiotów boi się ujawniać informacje o ataku na ich bazy danych, to logiczne. Jednak z drugiej strony nikt nie może zatajać takich informacji przed konsumentami i powiedzieć: To normalne nic się nie stało. Trzeba przeciwdziałać takim atakom, a jeżeli już raz do nich dojdzie trzeba wyciągnąć wnioski i czegoś się nauczyć

[...]

Główne założenia strategii i projektu dyrektywy mówią że:

- Każdy z krajów członkowskich powinien stworzyć na terenie swojego kraju CERT (Computer Emergency Response Team).

- Każde państwo członkowskie musi wyznaczyć kompetentny organ, który zajmowałby się bezpieczeństwem danych i sieci, któremu to podmioty prywatne mogłyby zgłaszać naruszenia ich bezpieczeństwa czyt. ataków hakerskich. Wyznaczone władze miałyby za zadanie opracowanie planów zarządzania kryzysowego w wypadku ataków hakerskich dla podmiotów prywatnych. (Niestety, nie doprecyzowano czy tworzeniem planów i poprawą bezpieczeństwa ma się zająć sam organ rządowy czy mogą to być np. firmy prywatne specjalizujące się w bezpieczeństwie w sieci).

- Organ wyznaczony przez rząd miałby za zadanie nawiązać ścisłą współpracę z agencją ENISA, w celu podniesienia poziomu bezpieczeństwa sieci w całej Europie.

- Sektory, które narażone są na wysokie ryzyko ataku hakerskiego tj. sektor bankowy, sektor transportu publicznego, sektor energetyczny, sektor służby zdrowia, sektor administracji publicznej, oraz dostawcy internetu musiałyby nawiązać ścisłą współpracę z CERT. Współpraca ta opierałaby się na wypracowaniu i wdrożeniu planów zarządzania kryzysowego, oraz raportowaniu  o każdym incydencie, który miałby znamiona cyberprzestępstwa. Te zalecenia są tak jakby rozszerzeniem tych, które można znaleźć  w dyrektywie o komunikacji elektronicznej.
http://antyweb.pl/nasze-dane-maja-byc-j ... ktywie-ue/

: 23 lut 2013, 23:58
autor: MisiekK
Zbiór pobożnych i częściowo nierealizowalnych życzeń.

: 24 lut 2013, 0:36
autor: asq
czas pokaże. standardy takie jak PCIDSS pokazują że nie ma rzeczy niemożliwych.

: 24 lut 2013, 8:15
autor: MisiekK
asq pisze:czas pokaże. standardy takie jak PCIDSS pokazują że nie ma rzeczy niemożliwych.
Czas będzie kilkuletni, więc nie ma się co podniecać.

: 24 lut 2013, 11:12
autor: asq
już jest kilkuletni, bo dziura była znaleziona w 2008, ja tu piszę od ponad roku, jeszcze cztery możemy poczekać w myśl zasady oliwa sprawiedliwa na wierzch wypływa :)

jest to o tyle ważna uchwała dla nas, że daje nam bezpieczeństwo tego ze firmy nie zatają przed nami incydentów, i ze muszą reagować - dają prace na rynku bezpieczeństwa. taki odpowiednik "należy spożyc przed" i sanepidu w cyber-świecie. uczciwi już teraz korzystają z pomocy konsultantów w czasie projektowania systemów, ale są i tacy, którzy to robią na skróty (sąsiad syna prezesa jest informatykiem) i wychodzą splesniałe kiełbasy z constaru, prawie tak dobre jak oryginalne :)

: 24 lut 2013, 15:22
autor: MisiekK
Pisałem, nie ma się co podniecać, bo ta dyrektywa to perspektywa kilku lat. I jeszcze okres przejścioey i inne smaczki. A co do ujawniania podatności to nie jestem tego zwolennikiem szczególnie mając za sobą 10 lat pracy przy największych i krytycznych dla kraju systemach.

: 24 lut 2013, 20:44
autor: asq
MisiekK pisze:A co do ujawniania podatności to nie jestem tego zwolennikiem
właśnie o to chodzi, żeby takie niebezpieczne zachowania wyeliminować.

: 24 lut 2013, 21:56
autor: MichalJ
Nie jestem zwolennikiem publicznego ogłaszania szczegółów luk w zabezpieczeniach w dniu odkrycia tych luk - niech używający ma czas na załatanie dziur. Ale wiadomo, że jak fakt istnienia luki jest znany, to prędzej czy później ktoś ujawni szczegóły, więc po pewnym czasie nie ma już powodu do tajemnicy.

Ale w ogóle o czym mówimy - w przypadku naszych kart tak fakt istnienia luki (i wszystkie szczegóły...), jak i sposoby zaradzenia temu są znane od lat.

: 24 lut 2013, 22:23
autor: MisiekK
asq pisze:
MisiekK pisze:A co do ujawniania podatności to nie jestem tego zwolennikiem
właśnie o to chodzi, żeby takie niebezpieczne zachowania wyeliminować.
Ale to jest najgorsza droga. Nawiasem wcale nie eliminuje się wszystkich błędów. Szczególnie takich których usunięcie jest o kilka rzędów droższe od ew. strat. A na dziury zakłada się kagańce i na korzystających czekają paragrafy.

: 24 lut 2013, 23:23
autor: asq
MichalJ pisze:Ale w ogóle o czym mówimy - w przypadku naszych kart tak fakt istnienia luki (i wszystkie szczegóły...), jak i sposoby zaradzenia temu są znane od lat.
o to chodzi. ztm musi sobie od dawna zdawać sprawę z istnienia czarnego rynku i przymykać na to oko, nie wątpię że zdają sobie też sprawę z tego, że namierzalność tego procederu, jeśli robi to osoba z głową na karku jest zerowa. dla mnie to brzmi jak współudział.

[ Dodano: |24 Lut 2013|, 2013 23:26 ]
MisiekK pisze:A na dziury zakłada się kagańce i na korzystających czekają paragrafy.
żeby one były skuteczne to bym nie robił awantury. w tym wypadku co najwyżej skutecznie (?) straszą ciupą.

: 24 lut 2013, 23:50
autor: px33
asq pisze:że namierzalność tego procederu, jeśli robi to osoba z głową na karku jest zerowa.
Namierzalność korzystającego czy sprzedającego? Bo ten pierwszy w teorii powinien wpaść przy drugiej kontroli albo (jeśli system zapisuje wszystkie dotknięcia) przy pierwszej kontroli drugiego dnia po przytknięciu. Tylko że przy blackliście na 1000 kart i odpowiednio dużym czarnym rynku sito może być spore (no chyba że kanary dostaną zeszycik z numerami lewych kart ;) )

: 25 lut 2013, 0:26
autor: asq
nie mogę odpowiedzieć, bo dostanę bana :-# :sick: :shock: #-o

: 26 lut 2013, 11:31
autor: MisiekK
px33 pisze:Namierzalność korzystającego czy sprzedającego? Bo ten pierwszy w teorii powinien wpaść przy drugiej kontroli albo (jeśli system zapisuje wszystkie dotknięcia) przy pierwszej kontroli drugiego dnia po przytknięciu.
Jeśli takich podejrzanych kart jest kilkanaście to po co ich od razu zdejmować? Lepiej sprawdzić gdzie się pojawiają, poczekać na kolejne i zdjąć większą grupę. Wtedy ktoś z tego towarzystwa grzecznie powie skąd to ma i kto mu nabił.
asq pisze: w tym wypadku co najwyżej skutecznie (?) straszą ciupą.
Ja bym się tak autorytatywnie o nieskuteczności nie pisał.

: 26 lut 2013, 11:40
autor: MichalJ
Ja bym tak autorytatywnie nie wypowiadał się o rzekomej skuteczności działań przeciwko nadużyciom.

: 26 lut 2013, 15:39
autor: fik
Ja bym zaś skończył bić pianę. Raz jeszcze przeczytam jakieś enigmatyczne wzmianki o czekających paragrafach, to autor tychże straci możliwość pisania na tym forum, do ciężkiej cholery.