Érdekes megfigyelni azt hogy az egyes szervezetek milyen erőfeszítéseket (nem)tesznek az informatikai rendszerek integritásának megőrzése, és/vagy az adataik védelme érdekében. Egyes cégek (döntéshozói) tudatában vannak a veszélynek és tényleges megoldást keresnek, míg mások látványosan fogalmatlanok a fenyegetettség megítélését illetően. Nem szándékom megmondani a frankót, és nem akarom megmondani hogy mi a baj. Azt valamiért mindenki meg tudja mondani. :)
Sztorizgassunk. Szeretünk sztorizgatni. Tanuljunk a történelemből, és vonjuk le a tanulságokat..
A Digital Pearl Harbor kifejezés először 1990-ben jelent meg. Aki nem vágja a Pearl Harbor sztorit, röviden: Japán megelőző csapást mért Pearl Harbor-nál egy stratégiaileg kiemelten fontos amerikai tengerészeti bázisra. Hogy történhetett ez meg? Az amcsik nem voltak felkészülve arra hogy a japánok keresztülrepülik az óceánt, és Yamamoto Admirális ezt látta meg, majd 1941 december 7.-én lenullázta a bázist. 3 cruiser, 3 romboló, egy aknázó hajó, 188 repülő, 2400 halott és 1280 sebesült.
A történet tanulsága? Felkészületlenség + egy jól időzített, precíz csapás a megfelelő ponton = rotty.
Erről szól a Digitális Pearl Harbor: A cégek/etc szervezetek nagy része felkészületlen, és amikor már látni lehet a japán repülőket akkor már régen késő. A védekezést akkor kell megszervezni amikor még nincs baj. Amikor már baj van akkor csak tüzet oltani lehet... ha lehet.
Egy olyan cégnek aki a webből él (weblapokat üzemeltet) az a halál ha ellehetetlenítik a szolgáltatást. Nagyon jó példa egy webshop. Ha az ügyfelek számára használhatatlan a szolgáltatás, nincs eladás, nincs bevétel. Konkrét példával szolgál a történelem: etoy.com vs etoys.com. Tömören: az etoy.com-ot egy svájci művészcsapat jegyezte be, két évvel később indult az etoys.com ami egy online játékáruház volt. Az etoys beperelte a Network Solutions-t, és megnyerte a pert illetve az etoy.com domaint. Civilek egy csoportja megszervezett egy DDoS támadást a karácsonyi főszezonra időzítve az etoys.com ellen. Két hónap múlva az etoys (NASDAQ:ETYS) $67-ről $15-re esett, majd egy hónapra rá csődöt jelentett. ($4.5 billion in damage - de ennek még utánanézek) Akit érdekel a történet az keressen a ToyWar kulcsszóval.
Az Etoys.com emléke tovább él a nasdaq hírarchívumában... :)
Nem kell visszamenni az időben Pearl Harborig vagy a toywarig, napjainkban is megtörténik, minden héten. Persze nem mindent ír meg az index, mert ugye kit érdekelnek a kis noname cégek. A cégvezető akinek a döntést meg kéne hoznia nem fogja érteni azt hogy sql injekt, de ha azt mondod hogy: "Hogyan érintené a cégét ha a webáruháza a karácsonyi időszakban elérhetetlen lenne a vásárlók számára?" ... akkor lehet hogy elgondolkozik.
- Mekkora kárt okozott iránnak a stuxnet?
- Mekkora kárt okozott a Visa-nak az anonymous támadása?
- Mekkora presztizs és anyagi veszteséget szenved el most a Sony/PlayStation Network?
- Mi történt a RealityCheckNetwork-el
Azok a szervezetek akik a homokba dugják a fejüket és nem vesznek tudomást a fenyegetettségről előbb-utóbb kénytelenek lesznek megtapasztalni. Murphy.
Rendben, egy cég esetében aki az internetből él relatív egyszerű a történet ha csak techlayer támadásokkal számolunk. De nem kizárólag cégekre gondolok amikor -nem véletlenül- használom azt a kifejezést hogy "szervezet". Állami szinten egész más a fenyegetettség és sokkal összetettebb támadási vektorokat is számításba kell venni. Mennyire fájna ha az ügyfélkapu megborulna? Szenzitiv adatok vannak-e ott vajon? :D A MÁV irányítási rendszerei megfelelően védettek-e? APEH/OEP/KEHI/ORFK? A kormányzati x.400-as levelezőrendszer? Ezek a rendszerek vajon fel vannak készítve? Van Incident Response Plan? Ha van akkor mikori? Van Incident Response Team? Vagy reménykedünk hogy nem repülnek erre a japánok? (vagy kínaiak)
Nyugalom!
Pánikra nincs ok.
Nem kell megijedni...
...félni viszont nem lenne hülyeség.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.