Kodėl „Yahoo“ Užtruko Taip Ilgai Atskleisti Saugumo Pažeidimus?

{h1}

„linkedin“, „myspace“, „yahoo“: kodėl įmonėms prireikia tiek laiko atskleisti, kad jos buvo nulaužtos?

Šis straipsnis iš pradžių buvo išspausdintas „The Conversation“. Leidinys pridėjo straipsnį „WordsSideKick.com“ ekspertų balsams: „Op-Ed & Insights“.

Rugsėjo pabaigoje „Yahoo“ paskelbė, kad buvo pažeista mažiausiai 500 milijonų vartotojų abonementų. Pavogti duomenys apėmė vartotojų vardus, el. Pašto adresus, telefonų numerius, gimimo datas ir užšifruotus slaptažodžius, bet ne kredito kortelės duomenis. Dideli duomenų pažeidimai tapo vis dažnesni: Tiesiog 2016 m. Sužinojome apie „Yahoo“ pažeidimus, taip pat apie „LinkedIn“ įsilaužimą (kompromituojanti 167 mln. Paskyrų) ir „MySpace“ pažeidimą (360 mln. Paskyrų).

„Yahoo“ pažeidimas paveikė daugiau vartotojų nei kiti du, tačiau visi jie turi esminį elementą: Jie buvo paskelbti visuomenei po metų. „LinkedIn“ įsilaužimas įvyko 2012 m., „MySpace“ buvo pažeistas 2013 m., O „Yahoo“ - nulaužtas 2014 m. Netrukus 2016 m. Trijų svetainių vartotojai sužinojo, kad jų informacija buvo pavogta.

Kai pavogiama asmeninė informacija, svarbu greitai reaguoti. Klientai turi pakeisti savo slaptažodžius ir imtis kitų priemonių, kad apsaugotų savo tapatybę, įskaitant banko sąskaitų ir kredito įrašų apsaugą. Jei žmonės nežino, kad įvyko pažeidimas, ir kad jiems reikia atlikti šiuos apsauginius veiksmus, jie lieka pažeidžiami.

Taigi kodėl tiek ilgai reikia, kad įmonės atskleistų, jog jos buvo nulaužtos? Tai nėra taip paprasta, kaip jūs galite pamanyti - ar tikėtis.

Laikas yra pagrindinis veiksnys

Kol kas nėra aišku, kada „Yahoo“ sužinojo apie savo išpuolį, nors šiuo atveju laikas yra abejotinas. Rugpjūčio 1 d. Paskelbtame naujienų straipsnyje cituojamas bendrovės atstovas, sakantis, kad „Yahoo“ „žinojo“, jog įsilaužėlis internetinėje juodojoje rinkoje parduoda 200 milijonų „Yahoo“ paskyrų prisijungimo duomenis.

Tačiau daugiau nei po mėnesio įmonė pateikė dokumentą JAV finansų reguliavimo institucijoms, sakydama, kad nežino apie jokius „neteisėtos prieigos“ teiginius, kurie galėtų turėti įtakos jos laukiamam pardavimui „Verizon“. O „Verizon“ viešai teigė, kad apie pažeidimą ji sužinojo tik prieš dvi dienas, kol „Yahoo“ paskelbė apie tai pasauliui.

Visi šie įvykiai, be abejo, buvo metai po to, kai pažeidimas iš tikrųjų įvyko. Tai nedažnai vėluojama. Remiantis naujausia tinklo apsaugos firmos „FireEye“ ataskaita, 2015 m. Vidutinis laikas, per kurį organizacijos tinklas buvo pažeistas, kol nebuvo nustatytas pažeidimas, buvo 146 dienos.

Tai apima visų dydžių įmones bet kokio tipo versle. Kaip pagrindinė interneto įmonė, turinti ypač didelę vartotojų bazę, pagrįstai galima tikėtis, kad „Yahoo“ pažeidimus pastebės ir atskleis daug greičiau nei kitos firmos.

Hacko aptikimas ir patvirtinimas

Bendrovė teigė, kad mano, kad išpuolį įvykdė nacionalinė vyriausybė, nors ji ir nepasakė iš kurios šalies. Tai gali reikšti, kad ataka buvo sudėtingesnė, todėl sunkiau aptinkama - tačiau neįmanoma žinoti, ar tai tiesa, nes bendrovė atsisakė pateikti informacijos apie tai, kaip buvo padarytas pažeidimas.

Be to, bet kas internete gali reikalauti bet ko, ko nori - įmonės turi ištirti savo sistemas, kad išsiaiškintų, ar kažkas reklamuojantis turi prisijungimo informaciją, kad ją parduotų, ar iš tikrųjų ką nors ėmėsi, ar tik dėl to stengiasi sukelti bėdų.

Netechninės priežastys, dėl kurių „Yahoo“ užtruko taip ilgai, kad aptiktų įsilaužimą, gali būti dažni saugumo komandos vadovybės pokyčiai ir visos įmonės stresas ieškant pirkėjo.

Pranešimas visuomenei

Kai įmonė sužino, kad buvo įsilaužta, svarbu pasakyti klientams ir visuomenei, kad žmonės galėtų imtis tinkamų priemonių apsaugoti savo informaciją, privatumą ir tapatybes.

Šiuo metu nėra federalinio įstatymo, nustatančio, kada įmonės privalo pranešti visuomenei apie informacijos saugumo pažeidimus. 2015 m. Demokratai pasiūlė suteikti įmonėms 30 dienų nuo įsilaužimo atradimo iki paskelbimo, kad tai įvyko. Šios pastangos nepavyko, nes daugelis valstybių, kurių reikalavimai skiriasi, turi griežtesnius standartus, kuriuos būtų panaikinęs federalinis įstatymas.

Firmos reputacijos atkūrimas

Technikos įmonės paprastai gali greitai atsigauti po duomenų pažeidimų, jei greitai reaguoja ir imasi reikiamų priemonių pranešti vartotojams. Tai pasakytina ir apie korporacijas, kurių duomenų pažeidimai sukėlė pavojų klientų kreditinių kortelių informacijai, pavyzdžiui, „Target“ 2013 m. Ir „Home Depot“ 2014 m.

Po pažeidimų pateikti ieškiniai bendrovėms sumokėjo milijonus atsiskaitymo išlaidų, jau nekalbant apie teisinius mokesčius ir prarastą verslą. Pamoka aiški: geriau atskleisti ankstyvą duomenų pažeidimą. Jei „Yahoo“ apie savo įsilaužimą sužinojo jau rugpjūtį - ar net prieš metus - ir ilgai užtruko, kad apie tai praneštų visuomenei, bendrovė akivaizdžiai išdavė savo vartotojų pasitikėjimą.

Nors po viešo saugumo pažeidimo paviešinimo „Yahoo“ paragino vartotojus pakeisti slaptažodžius ir saugumo klausimus, tūkstančiai vartotojų kreipėsi į socialinę žiniasklaidą norėdami išreikšti pyktį, kad įmonei prireikė dvejų metų duomenų pažeidimui atskleisti. „Yahoo“ iškelti ieškiniai auga.

Tokioms įmonėms, kaip ir „Yahoo“, gali būti labai sunku apsisaugoti nuo kvalifikuotų ir ryžtingų įsilaužėlių. Tačiau nepranešimas apie išpuolį, kai tik įtariama, gali būti beveik toks pat žalingas kaip pats įsilaužimas.

Yanfang Ye, informatikos ir elektros inžinerijos profesorius, Vakarų Virdžinijos universitetas

Šis straipsnis iš pradžių buvo išspausdintas „The Conversation“. Perskaitykite originalų straipsnį.


Vaizdo Papildas: .




Tyrimas


Nuotraukose: Misija 2000 Metų Antikythera Laivo Avarijai
Nuotraukose: Misija 2000 Metų Antikythera Laivo Avarijai

Šis Milžiniškas Laikrodis Pažymės 10 000 Metų, Bet Niekada Jo Nerasite
Šis Milžiniškas Laikrodis Pažymės 10 000 Metų, Bet Niekada Jo Nerasite

Mokslas Naujienos


„Selfies“ Iškraipo Tavo Veidą 30 Proc. - Štai Ir Reikia Šią Matematikos Pagrindą
„Selfies“ Iškraipo Tavo Veidą 30 Proc. - Štai Ir Reikia Šią Matematikos Pagrindą

Energetiniai Gėrimai Gali Būti Mirtini Mažiems Vaikams
Energetiniai Gėrimai Gali Būti Mirtini Mažiems Vaikams

Orchidėja Daro Didelę „Roadkill“ Imitaciją Privilioti Muses
Orchidėja Daro Didelę „Roadkill“ Imitaciją Privilioti Muses

Kodėl Šunys Lavina Uodegas?
Kodėl Šunys Lavina Uodegas?

Alzheimerio Liga Gali Prasidėti Kepenyse, Rodo Tyrimas
Alzheimerio Liga Gali Prasidėti Kepenyse, Rodo Tyrimas


LT.WordsSideKick.com
Visos Teisės Saugomos!
Dauginti Jokių Medžiagų Leidžiama Tik Prostanovkoy Aktyvią Nuorodą Į Svetainę LT.WordsSideKick.com

© 2005–2020 LT.WordsSideKick.com