Zarządzanie Ryzykiem, Risk Management, Ryzyko, Analiza Ryzyka Rozliczamy z przyszłości

Doświadczenie firmy Sony jest odpowiednim momentem na zwrócenie szczególnej uwagi na kwestie związane z bezpiecznym stosowaniem haseł na stronach internetowych.

Sieć PlayStation Network służy użytkownikom PlayStation 3 i PlayStation Portable do grania, kupowania gier oraz multimediów, a także oglądania telewizji online. Serwis Qriocity jest wirtualną wypożyczalnią filmów i sklepem z muzyką. To był cel ostatniego, spektakularnego, przeprowadzonego z powodzeniem ataku cyberprzestępców.
Między 17 a 19 kwietnia 2011 roku ktoś nieuprawniony (sprawcy nie są znani do dziś) uzyskał dostęp do bazy danych klientów firmy Sony. Z systemu wyciekły:

•  imiona i nazwiska,
• adresy zamieszkania,
• adresy e-mail, 
• daty urodzenia, 
• hasła i loginy PlayStation Network/Qriocity oraz używane online PSN ID.

Nie można też wykluczyć, że w niepowołane ręce dostały się: adresy posiadaczy kart kredytowych,

• adresy posiadaczy kart kredytowych, 
• historia zakupów, 
• odpowiedzi zabezpieczające hasła do PlayStation Network/Qriocity,
• dane dotyczące kont zależnych (na przykład kont, których użytkownikami są członkowie rodzin).

Mikko Hypponen, szef działu badań F-Secure, zaleca, że jeżeli używaliśmy adresu e-mail i hasła używanego w PSN także do logowania w innych serwisach, powinniśmy natychmiast zmienić hasła we wszystkich tych serwisach, a także w PSN, gdy tylko zacznie znów działać.
Hypponen zaleca także śledzenie rachunków kart kredytowych używanych przy transakcjach w PSN.

Ryzyko zdarzenia
Jak duże było ryzyko tego zdarzenia? Tego z całą pewnością określić nie można. Jednak prawdopodobieństwo, że coś takiego się zdarzy, rosło wraz z ilością informacji, jakie były gromadzone w jednym miejscu (w bazie). Możemy się jedynie zastanawiać, dlaczego (a może po co?) te wrażliwe dane były zbierane i przechowywane? Winni są oczywiście cyberprzestępcy, ale to firma odpowiednio nie zabezpieczyła informacji (i trudno mi uwierzyć, że wszystkie były jej potrzebne). Częścią winy można zapewne obarczyć również użytkowników, którzy nie tylko często bezkrytycznie ujawniają różne dane, ale i sami podają niewymagane informacje.
Nie ma jeszcze sygnałów o wykorzystaniu przez cyberprzestępców uzyskanych danych (brak sygnałów z banków m.in. o użyciu skradzionych kart kredytowych) i być może zdarzenie z Sony było tylko szlachetnym hakerskim wybrykiem, który miał zwrócić uwagę na bardzo poważny problem niestosowania odpowiednich zabezpieczeń. Jednak wszyscy (ponad 70 mln. użytkowników) zamieszani w to wydarzenie powinni zabezpieczyć swój interes, dokonując odpowiednich zmian.

Środki ostrożności
Lekceważenie problemu bezpieczeństwa to nasz chleb powszedni, chociaż eksperci na przykład z takich firm jak Trend Micro ciągle przypominają, że my także mamy wpływ na ochronę swoich danych osobowych. Zdrowy rozsądek mówi, że jeżeli należymy do osób, które korzystają z tego samego hasła na wielu stronach internetowych, to ułatwiamy zadanie przestępcom. Doświadczenie Sony powinno nas skłonić do zmiany tych przyzwyczajeń.
Rik Ferguson, starszy doradca do spraw bezpieczeństwa w Trend Micro, potwierdza, że powtarzanie tego samego hasła w różnych miejscach nie jest dobrym pomysłem. Warto mieć niepowtarzalne hasło na każdej ze stron. Na pierwszy rzut oka może się wydawać, że stosowanie różnych ciągów znaków jest skomplikowane i trudne do zapamiętania, ale  istnieje na to prosty sposób. Stwórz złożone hasło za pomocą liter, cyfr i znaków specjalnych takich jak $%&! Opracuj własny sposób na zróżnicowanie swoich haseł stosowanych na każdej ze stron, z których korzystasz, np. przez umieszczanie pierwszych i ostatnich liter pojawiających się w nazwie strony na początku i na końcu podstawowego trzonu swojego złożonego hasła. Dzięki temu ciągi liter, cyfr i znaków specjalnych będą unikalne i łatwe do zapamiętania ? dodaje Rik Ferguson. Równie ważne jest także zwrócenie uwagi na rolę pytania zabezpieczającego hasło. Powinniśmy się zastanowić, czy nasze odpowiedzi rzeczywiście zapewniają bezpieczeństwo, ponieważ bezpieczna dla nas jest jedynie taka sytuacja, w której tylko my jesteśmy w stanie udzielić prawidłowej odpowiedzi na pytanie. Jeśli istnieje możliwość stworzenia swojego własnego pytania, powinniśmy z niej skorzystać. Jeżeli odpowiadamy na standardowe pytanie (?pierwsza szkoła?, ?pierwsze zwierzę?) to wcale nie musimy mówić prawdy. Najlepiej napisać coś, co będzie dla nas łatwe do zapamiętania.

Epilog
Atak na sieć PSN pokazał, że nie tylko użytkownicy komputerów i telefonów komórkowych nie mogą czuć się całkiem bezpieczni. Nie jest wykluczone, że podobny atak może dotknąć użytkowników konsol XboX (Microsoft) i Wii (Nintendo).
Poza tym, mając na uwadze ostrzeżenie, jakie dostała firma Sony, powinniśmy śledzić informacje banku, z którego usług korzystamy, gdyż cyberprzestępcy mogą jeszcze wykorzystać zdobyte informacje. Na wszelki wypadek sprawdź więc dane do logowania w innych serwisach i uważnie śledź rachunki kart kredytowych.

Ryzyko w garści

• Każde miejsce w sieci, do którego się logujesz, powinno mieć inne hasło dostępu.
• Nie powtarzaj tego samego hasła w różnych miejscach.
• Pamiętaj, że sieć nigdy nie jest absolutnie bezpieczna.