Vlákno názorů k článku T-Mobile má za únik dat 1,2 milionu klientů zaplatit pokutu 3,6 milionu od . - Nechci se t mobilu zastávat, ale má UOOU...
-
. (neregistrovaný)
Nechci se t mobilu zastávat, ale má UOOU konkrétní doporučení jak mají tato data chránit. Už vidím jak by uoou dalo pokutu t mobilu za to, že mají pracovníci nainstalován špehovací software, jsou všude sledováni kamerami, při odchodu z pracoviště jsou podrobeni osobní prohlídce a na pracovišti mají zákaz navštěvovat veřejné internetové stránky a používat osobní emaily :-))
3 Kč za uniklý kontakt je fér, až mě unikne taky pár údajů z DB tak vím kolik mě to bude stát, doufám, že takto málo.
-
Tomáš2 (neregistrovaný)
to není starost ÚOOÚ (naštěstí), aby kecal jak to má firma zajistit, jiné firmy si s tím poradili. Pokud má jeden člověk přístup všude a může si data odnést bez jakékoliv kontroly, je to špatně, tečka.
Špehovací SW není třeba, stačí začít auditovat logy a lépe nastavit procesy, kdo kam má přístup, vždyť takhle to dělají i malé společnosti...
Pozor na to, že jakmile necháš data uniknout úmyslně, můžeš balancovat na hraně trestního zákoníku...
-
OB (neregistrovaný)
Souhlas - zrovna v tomhle případě by prevence byla relativně jednoduchá: žádný zaměstnanec nepotřebuje přistupovat k milionu zákazníků. Měli přístupy sledovat a jakmile by překročily rozumnou hranici (patně několik tisíc), tak jít zkontrolovat, proč daný zaměstnanec přistupuje k datům tolika zákazníků.
-
Jo jo, doba se meni. Dneska je ve firmach fundamentalni neporadek a nevadi to vubec nikomu. Pred mnoha lety jsem znal firmu, ktera zpracovavala vyhradne duverne osobni udaje. Technicky reditel tam mimo jine zjistil, ze sekretarka (sic!) ve firme manzelky vlastnika ma vyssi opravneni k pristupu k datum nez admin z jeho vlastniho tymu. Kdyz udelal protiopatreni, byl vyhozen a bylo mu vysvetleno, ze pokud se to nekdo dozvi, bude to jeste horsi.
-
fd (neregistrovaný)
Poctete si neco o tm jak se pracuje s daty, ani administrator nepotrebuje mit k datum pristup, natoz ke vsem. Ze to tak vetsinou je, vubec neznamena, ze je to tak spravne, nebo ze to jinak nejde.
Jako administrator databaze vubec nepotrebuji videt vsechna data v databazi, bohate mi staci struktura. Pripadne nejaka demo databaze s par zaznamy.
Dale lze pochopitelne kazdy dotaz logovat a provadet audit - napriklad jak bylo zmineno na to, kdo a ke kolika zaznamum pristupuje. Neco na tema select * fom pak lze velmi snadno zcela znemoznit.
Ano, vyzaduje to praci pri navrhu systemu a tudiz penize.
Kcemupak vam asi tak bude zasifrovana databaze z disku, kdyz nemate pristup ke klicum?
-
Tomáš2 (neregistrovaný)
hm, administrator má přístup fyzicky k serverům a tím zároveň k datům, tomu bez šifrování nezabráníš (dat i přenosů). Často se zapomíná na únik informací právě z takových audit logů, které nebývají dobře zabezpečeny, protože se všichni soustředí na primární data.
Zakázat "select *" nic neřeší, tak si ty sloupce vyjmenuje, řešením je ABAC a analýza chování jednotlivých zaměstnanců, stejně tak anonymizování dat či šifrování konkrétních hodnot atd.
Nezapomeň, že ne všichni přistupují k datům přes sql, ale řada přístupů může být přes interní systémy a tam zase musíš řešiš nějakou vrstvu, která zabrání dolovat data.
