De senaste 10 största kort-dataintrången. http://www.databreaches.net/?p=2862
måndag 18 maj 2009
Hartland - kortdata "in transit"
Nyckelfrasen från Heartlands VD och och CFO Robert H.B. Baldwin Jr. "were grabbing numbers with sniffer malware as it went over our processing platform..." Avslöjar att det handlar om kortinformationj "in transit" alltså inte lagrad kortdata som stals. Tex. har Microsoft lösningar för diskkrypton, vilket i detta fall inte skulle ha hjälpt. All transport över "öppna" nätverk (internet) ska ju skyddas enligt PCI DSS, men i det här fallet verkar det som att man sniffat trafik in transit på Hartlands interna nätverk. Det här verkar vara ett bra exempel varför man inte ska stirra sig blind på ett krav i taget i PCI DSS. Att fylla kravet att bara skydda data över öppna nätverk när det transporteras räcker alltså inte alltid. Att sikta på att bara fylla kraven för att bli "compliant" är inte det bästa sättet att undvika att råka ut för kortdataförlust. Ett informationssäkerhetsperspektiv där man utgår från informationen och bygger skydd i lager-på-lager, kan även likans vid en "lök" med inforamtionen i mitten och skyddande "ringar" av säkerhetsmekanismer runt om. Det är ett mycket mer effektivt sätt för företag att skydda sin käsnliga information.
Att vara både VD eller "President" och CFO avslöjar ju också hur seriöst man tar informetionssäkerhetsfrågorna på ett bolag. Min erfarenehet är att du hinner sällan med båda hattarna, oavsett hur litet eller stort företaget är. Hartland lovar nu end-to-end kryptering, vilket är bra men det låter som de tror att det är en lösning som skulle lösa alla deras problem. Ack så vanligt när man inte hinner sätta sig in i för- och nackdelar som alla lösningar har. Men som VD hinner man inte med några djupare analyser, det förstår jag.
Att vara både VD eller "President" och CFO avslöjar ju också hur seriöst man tar informetionssäkerhetsfrågorna på ett bolag. Min erfarenehet är att du hinner sällan med båda hattarna, oavsett hur litet eller stort företaget är. Hartland lovar nu end-to-end kryptering, vilket är bra men det låter som de tror att det är en lösning som skulle lösa alla deras problem. Ack så vanligt när man inte hinner sätta sig in i för- och nackdelar som alla lösningar har. Men som VD hinner man inte med några djupare analyser, det förstår jag.
Inbrottet på Hartland
Inbrottet på Hartland i min tidigare post hittades i januari. http://www.theregister.co.uk/2009/01/20/heartland_payment_breach/
Det kan kosta att bli av med kortdata
Det kan kosta att bli av med kortdata... http://www.theregister.co.uk/2009/05/07/heartland_breach_costs/
tisdag 5 maj 2009
En liten delvinst för den personliga integriteten
Angående Antipiratbyråns mejl till svenska torrentsajter i DN. och Ifpi trappar upp piratjakten i samma tidning.
Antifiratbyrån vill nog smida medan järnet är varm och testa var gränserna går. Delvis för att många inte tror på att TPB kommer bli fällda i högre instanser?
Jag tror att man på Ifpi och Antipiratbyrån ser att strategin att få ut personuppgifter för att gå i process med enskilda fildelare inte håller i längden eftersom det sedan länge finns anonymitetstjänster som man som fildelare kan använda. Man ser att i takt med att fler använder dem kommer man förlora chansen att ställa personer inför rätta. En lag som förbjuder ISP:erna att radera sina loggar är på väg men även om den antas hjälper den inte mot anonyma användare. Man känner att man ligger efter. Ifip, Antipiratbyrån med bakomliggande distributörer har istället riktat in sig på att försöka få internetlevarantörerna att filtrera bort fildelningstrafik. Den nya strategin visas i brevet på Dangens Nyheter.
Frågan är om man kan få igenom en censur av trafik på Internet?
I vilket fall, om Ifip mfl. känner att de måste hitta en ny strategi, kan det vara en delvinst för den personliga integriteten.
Antifiratbyrån vill nog smida medan järnet är varm och testa var gränserna går. Delvis för att många inte tror på att TPB kommer bli fällda i högre instanser?
Jag tror att man på Ifpi och Antipiratbyrån ser att strategin att få ut personuppgifter för att gå i process med enskilda fildelare inte håller i längden eftersom det sedan länge finns anonymitetstjänster som man som fildelare kan använda. Man ser att i takt med att fler använder dem kommer man förlora chansen att ställa personer inför rätta. En lag som förbjuder ISP:erna att radera sina loggar är på väg men även om den antas hjälper den inte mot anonyma användare. Man känner att man ligger efter. Ifip, Antipiratbyrån med bakomliggande distributörer har istället riktat in sig på att försöka få internetlevarantörerna att filtrera bort fildelningstrafik. Den nya strategin visas i brevet på Dangens Nyheter.
Frågan är om man kan få igenom en censur av trafik på Internet?
I vilket fall, om Ifip mfl. känner att de måste hitta en ny strategi, kan det vara en delvinst för den personliga integriteten.
Prenumerera på:
Inlägg (Atom)