Украинскими специалистами по вопросам информационной безопасности недавно было произведено исследование безопасности персональных данных.
Украинскими специалистами по вопросам информационной безопасности недавно было произведено исследование безопасности персональных данных. В первую очередь была проверена реакция международных финансовых и информационных компаний на уведомление об утечке учетных данных их пользователей.
Авторы исследования Глеб Пахаренко и Кирилл Сухоставский воспользовались информацией из ботнет-сетей и отправили уведомления самым известным компаниям, представителям платежных систем и социальных сетей.
Реакция компаний на сообщения о компрометации персональных данных пользователей была разнообразной. Некоторые - сразу принимали на обработку данные об украденных учетных записях, некоторым требовалось до двух недель на обработку первичного запроса; а были компании и организации, которые вовсе не реагировали на уведомление о компрометации учетных записей их пользователей, или попросту не имели форм отправки запросов относительно инцидентов безопасности.
Авторы исследования отметили компании Google и eBay как организации, которые действительно заботятся о сохранности данных своих пользователей и клиентов. Другим организациям они рекомендуют создать максимально публичный и удобный шифрованный канал для уведомлений о нарушениях безопасности. Также, особое внимание следует уделять мотивации исследователей безопасности, которые могут значительно уменьшить последствия инцидентов информационной безопасности. Реакция VISA и отсутствие возможности обращения к MasterCard навели на мысль о том, что в действительности все меры по чрезвычайной заботе о сохранности номеров карт - однобоки. PCI Council уделяет внимание только предотвращению утечек данных, хотя не менее эффективной может быть борьба с последствиями краж. Но она почему-то не ведется.
Далее Г. Пахаренко и К. Сухоставский совместно с другими добровольцами, планируют организовать команду UISG-CERT, которая будет давать рекомендации по первоначальной реакции на инциденты информационной безопасности, по устранению их последствий, определять источники атак и уязвимости для компаний Украины и пользователей Интернет. Параллельно, используя опыт бесплатных консультаций, UISG-CERT может оказывать качественные коммерческие услуги, служить субъектом координации FIRST для своих подписчиков.
Полная версия доклада доступна по ссылке: http://docs.google.com/View?id=dhdxn2g6_83hqnt94m6От классики до авангарда — наука во всех жанрах