Michał Rosiak
Miliardy dolarów zysku, tyleż samo (ale z dwoma cyframi na początku) łącznego kapitału, niemal pół miliarda dolarów rocznego zysku netto, ponad 33 tysiące pracowników - te dane Wyndham Worldwide, holdingu zarządzającego ponad 7 tysiącami hoteli na całym świecie, choć z 2007 roku, i tak robią gigantyczne wrażenie. Wydaje się oczywiste, że od takiej firmy również w dziedzinie cyber-bezpieczeństwa można oczekiwać daleko idącego profesjonalizmu.
Informacja o pozwie amerykańskiej Federalnej Komisji Handlu (FTC), będącego efektem kontroli po wycieku danych 600 tysięcy klientów, dowodzi jednak czegoś zupełnie innego. Niestety, daję sobie uciąć mały palec u lewej ręki, że jest też dowodem na to, iż multum większych i mniejszych firm wciąż robi wrażenie, jakby uważała, iż cyber-przestępczość nie istnieje.
Treść pozwu zjeżyła mi włosy na głowie, bowiem lekceważenia bezpieczeństwa na tak olbrzymią skalę nie spodziewałbym się nawet w przypadku - z całym szacunkiem - małej firmy o zasięgu osiedlowym. Pobłażliwa polityka dla haseł dostępowych pracowników do sieci korporacyjnej; brak firewalli na styku z internetem (!!!), brak zinwentaryzowanej infrastruktury IT (nie byli w stanie podać fizycznej lokalizacji niektórych urządzeń!), aż wreszcie (tak, da się zrobić coś jeszcze gorszego) przechowywanie danych z kart kredytowych klientów w czystym tekście. Przecież to tak, jakby wydrukowali je na kartkach i wyrzucili przez okno swojej centrali w New Jersey.
Zastanawiam się już przeszło kwadrans, jak to podsumować, ale brakuje mi słów, nadających się do powtórzenia... Czego im zabrakło? Chyba wszystkiego. Tego nie dałoby się zrobić jeszcze gorzej, a przypomnę, że mówimy o olbrzymim holdingu o ogólnoświatowym zasięgu i tyle w tym dobrego, że hoteli z ich portfolio nie ma w naszym kraju. W takiej sytuacji zastanawiam się, czy firma w ogóle miała jednostkę odpowiedzialną za bezpieczeństwo IT? Chociaż w sumie to nawet nie musieli - np. w Orange Polska można wykupić usługi Firewall, IPS, czy monitoring zagrożeń 24/7 w trybie Managed, gdzie Klient nie musi budować u siebie kompetencji bezpieczeństwa, bowiem my wszystko przygotujemy i zarządzimy za niego, jedynie informując o potencjalnych problemach i na zlecenie Klienta podejmując działania.
A czytając o pozwie FTC zastanawiam się, że to chyba dobry pomysł, by firmy, które w efekcie cyber-ataku utraciły dane klientów, podlegały automatycznie szerokiemu i dokładnemu audytowi infrastruktury oraz polityk bezpieczeństwa. Co o tym sądzicie?
Photo of The Great Wall of China by Hao Wei/ Creative Commons Attribution 2.0
Marek Wajda