Μια έρευνα του BNR δείχνει ότι διάφοροι οργανισμοί, συμπεριλαμβανομένου του γνωστού ταξιδιωτικού οργανισμού Sunweb, της αλυσίδας ευεξίας Thermen Resorts και του πρακτορείου casting B&F Casting, αντιμετωπίζουν σοβαρές παραβιάσεις της ασφάλειας.
Η ψηφιακή ασφάλεια των ολλανδικών εταιρειών είναι και πάλι υπό συζήτηση μετά την αποκάλυψη ότι η ψηφιακή πίσω πόρτα είναι ορθάνοιχτη σε τουλάχιστον πενήντα ολλανδικές εταιρείες και οργανισμούς. Επομένως, ως πελάτης μιας από αυτές τις εταιρείες, μην εκπλαγείτε που μπορείτε να περιμένετε σύντομα ένα email με μια συγγνώμη. ΕΝΑ έρευνα του BNR αποκάλυψε ότι τα ιδιωτικά δεδομένα χιλιάδων Ολλανδών είναι διαθέσιμα λόγω ανεπαρκώς ασφαλισμένων περιβαλλόντων cloud. Αυτό ποικίλλει από βιογραφικά και επιστολές αίτησης έως δεδομένα πελατών και συμβάσεις. Οι ειδικοί προειδοποιούν ότι αυτό το πρόβλημα είναι μόνο η κορυφή του παγόβουνου και ότι ο πραγματικός αριθμός μη ασφαλών διακομιστών και παραβιάσεων δεδομένων είναι σημαντικά υψηλότερος.
Η έρευνα δείχνει ότι διάφοροι οργανισμοί, συμπεριλαμβανομένου του γνωστού ταξιδιωτικού οργανισμού Sunweb, της αλυσίδας ευεξίας Thermen Resorts και του πρακτορείου casting B&F Casting, αντιμετωπίζουν σοβαρές παραβιάσεις ασφαλείας. Στη Sunweb, για παράδειγμα, βρέθηκαν περισσότερα από δύο χιλιάδες βιογραφικά και επιστολές αίτησης Για όλους προσβάσιμα εμπορεύματα. Αυτό προκλήθηκε από την ακούσια ανάρτηση αυτών των εγγράφων στο διαδίκτυο όταν το λογισμικό στρατολόγησης μεταφέρθηκε στο cloud. Τα Thermen Resorts και το B&F Casting αντιμετωπίζουν παρόμοια προβλήματα, με εσωτερικά έγγραφα όπως σενάρια, ενημερώσεις και συμβόλαια να είναι δημόσια προσβάσιμα.
Ένας εκπρόσωπος της Sunweb απάντησε στην ανακάλυψη της παραβίασης δεδομένων δηλώνοντας: "Τα βιογραφικά και οι επιστολές αιτήσεων διαγράφηκαν αμέσως. Σύμφωνα με έναν εκπρόσωπο, τα αρχεία κατέληξαν κατά λάθος στο διαδίκτυο πριν από περίπου τρία χρόνια όταν το λογισμικό στρατολόγησης μεταφέρθηκε στο cloud."
Το πρόβλημα των ανεπαρκώς ασφαλισμένων περιβαλλόντων cloud επιδεινώνεται περαιτέρω από την έλλειψη ευαισθητοποίησης και γνώσης μεταξύ των ίδιων των εταιρειών. Πολλοί οργανισμοί υποθέτουν ότι η ασφάλεια του περιβάλλοντος cloud είναι ευθύνη του παρόχου cloud. Ωστόσο, όπως ο Jeremy van Doorn από την εταιρεία κυβερνοασφάλειας Palo Alto τονίζει, αυτή η ευθύνη ανήκει στους κατόχους των δεδομένων. Αυτό το συναίσθημα συμμερίζεται και ο Roos Dijkxhoorn, ιδρυτής του Purasec, το οποίο υποστηρίζει ότι οι εταιρείες πρέπει ακόμα να μάθουν πώς να λειτουργούν με ασφάλεια με το cloud.
"Πολλοί πελάτες πιστεύουν ότι ο πάροχος διακομιστή cloud είναι υπεύθυνος για την ασφάλεια και επομένως ξεχνούν να ρυθμίσουν τα πράγματα σωστά."
Οι αποκαλύψεις οδήγησαν σε γρήγορες ενέργειες από τις εμπλεκόμενες εταιρείες. Αφού ενημερώθηκε από το BNR, η Sunweb ξεκίνησε αμέσως ένα σχέδιο διαχείρισης κρίσεων και αφαίρεσε τα σχετικά έγγραφα. Η Thermen Resorts και η B&F Casting έχουν επίσης λάβει μέτρα για τη βελτίωση της ασφάλειας των δεδομένων τους.
Eward Driehuis, πρόεδρος της κοινότητας κυβερνοασφάλειας CSIRT Global, προειδοποιεί ότι οι διαρροές που ανακαλύφθηκαν αντιπροσωπεύουν μόνο ένα κλάσμα του πραγματικού αριθμού μη ασφαλών διακομιστών. Σύμφωνα με τον ίδιο, το πρόβλημα θα μπορούσε να είναι «ίσως χίλιες φορές μεγαλύτερο», γεγονός που υπογραμμίζει το επείγον του προβλήματος.
«Συχνά οι εταιρείες πρέπει να μάθουν να εργάζονται με το cloud».
Αυτό το περιστατικό ρίχνει φως σε ένα αυξανόμενο πρόβλημα στον ψηφιακό κόσμο: την ασφάλεια των δεδομένων στο cloud. Καθώς οι εταιρείες στρέφονται όλο και περισσότερο σε λύσεις cloud για την αποθήκευση και την επεξεργασία των δεδομένων τους, περιστατικά όπως αυτό δείχνουν ότι υπάρχουν ακόμη πολλά να μάθουν και να βελτιωθούν στον τομέα της ψηφιακής ασφάλειας. Είναι ένα κάλεσμα αφύπνισης για όλους τους οργανισμούς να λάβουν σοβαρά υπόψη τα δεδομένα τους και τον τρόπο με τον οποίο χρησιμοποιούν το cloud και να επενδύσουν σε ισχυρά μέτρα ασφαλείας.
Προστασία
Ο υπεύθυνος χειρισμός των προσωπικών δεδομένων εξαρτάται από την καλή ασφάλεια αυτών των δεδομένων. Εάν η ασφάλεια δεν είναι σωστά διευθετημένη, αυτό μπορεί, για παράδειγμα, να οδηγήσει σε α datalek. Ο υπεύθυνος χειρισμός των προσωπικών δεδομένων εξαρτάται από την καλή ασφάλεια αυτών των δεδομένων. Δεν είναι χωρίς λόγο ότι αυτή είναι μία από τις 1 βασικές αρχές του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Η Ολλανδική Αρχή Προστασίας Δεδομένων (AP) παρακολουθεί τον τρόπο με τον οποίο οι οργανισμοί προστατεύουν την επεξεργασία των προσωπικών τους δεδομένων. Εάν ένας οργανισμός δεν έχει κανονίσει σωστά την ασφάλεια, το AP μπορεί να παρέμβει.
