Miliardy dolarów zysku, tyleż samo (ale z dwoma cyframi na początku) łącznego kapitału, niemal pół miliarda dolarów rocznego zysku netto, ponad 33 tysiące pracowników – te dane Wyndham Worldwide, holdingu zarządzającego ponad 7 tysiącami hoteli na całym świecie, choć z 2007 roku, i tak robią gigantyczne wrażenie. Wydaje się oczywiste, że od takiej firmy również w dziedzinie cyber-bezpieczeństwa można oczekiwać daleko idącego profesjonalizmu.

Informacja o pozwie amerykańskiej Federalnej Komisji Handlu (FTC), będącego efektem kontroli po wycieku danych 600 tysięcy klientów, dowodzi jednak czegoś zupełnie innego. Niestety, daję sobie uciąć mały palec u lewej ręki, że jest też dowodem na to, iż multum większych i mniejszych firm wciąż robi wrażenie, jakby uważała, iż cyber-przestępczość nie istnieje.

Treść pozwu zjeżyła mi włosy na głowie, bowiem lekceważenia bezpieczeństwa na tak olbrzymią skalę nie spodziewałbym się nawet w przypadku – z całym szacunkiem – małej firmy o zasięgu osiedlowym. Pobłażliwa polityka dla haseł dostępowych pracowników do sieci korporacyjnej; brak firewalli na styku z internetem (!!!), brak zinwentaryzowanej infrastruktury IT (nie byli w stanie podać fizycznej lokalizacji niektórych urządzeń!), aż wreszcie (tak, da się zrobić coś jeszcze gorszego) przechowywanie danych z kart kredytowych klientów w czystym tekście. Przecież to tak, jakby wydrukowali je na kartkach i wyrzucili przez okno swojej centrali w New Jersey.

Zastanawiam się już przeszło kwadrans, jak to podsumować, ale brakuje mi słów, nadających się do powtórzenia… Czego im zabrakło? Chyba wszystkiego. Tego nie dałoby się zrobić jeszcze gorzej, a przypomnę, że mówimy o olbrzymim holdingu o ogólnoświatowym zasięgu i tyle w tym dobrego, że hoteli z ich portfolio nie ma w naszym kraju. W takiej sytuacji zastanawiam się, czy firma w ogóle miała jednostkę odpowiedzialną za bezpieczeństwo IT? Chociaż w sumie to nawet nie musieli – np. w Orange Polska można wykupić usługi Firewall, IPS, czy monitoring zagrożeń 24/7 w trybie Managed, gdzie Klient nie musi budować u siebie kompetencji bezpieczeństwa, bowiem my wszystko przygotujemy i zarządzimy za niego, jedynie informując o potencjalnych problemach i na zlecenie Klienta podejmując działania.

A czytając o pozwie FTC zastanawiam się, że to chyba dobry pomysł, by firmy, które w efekcie cyber-ataku utraciły dane klientów, podlegały automatycznie szerokiemu i dokładnemu audytowi infrastruktury oraz polityk bezpieczeństwa. Co o tym sądzicie?

Photo of The Great Wall of China by Hao Wei/ Creative Commons Attribution 2.0

W ubiegłym tygodniu zastanawialiśmy się, co znaczy „integracja cyfrowa” i jakie tematy są dla Was istotne w tym obszarze. Dla nas to ważny temat, bo chcemy, aby każdy mógł korzystać z możliwości cyfrowego świata, niezależnie od umiejętności, miejsca zamieszkania, wieku czy sprawności. W tym rozdziale zamierzamy poruszyć kwestie takie, jak dostępność usług dla osób z niepełnosprawnościami, edukacja seniorów w zakresie nowych technologii, czy program wsparcia dla bibliotek, Telefon do Mamy i oczywiście wspomniane przez Was – Pracownie Orange.

Zwróciliście też uwagę, że warto pomówić nie tylko o pomocy w zdobywaniu podstawowych kompetencji cyfrowych, ale także o rozwijaniu kreatywnego podejścia do nowych technologii – opisać projekt „Włącz się z głową”, Program Akademia Orange czy badania na temat kompetencji cyfrowych dzieci i młodzieży. To również dobre miejsce na ważny temat inwestycji w rozbudowę i modernizację sieci.

Dziś kolejny rozdział i kolejny obszar do pokazania – „bezpieczna sieć”, co oznacza dla nas, że korzystanie z najnowszych technologii jest proste i wolne od zagrożeń. Już wskazaliście działania w zakresie bezpieczeństwa dzieci realizowane z Fundacją Dzieci Niczyje – sieciaki, helpline czy Dzień Bezpiecznego Internetu. Innym zagadnieniem, na które myślę zwrócić uwagę w Raporcie jest bezpieczeństwo danych.

A Was jakie tematy interesują najbardziej w tym obszarze?