De senaste 10 största kort-dataintrången. http://www.databreaches.net/?p=2862
måndag 18 maj 2009
Hartland - kortdata "in transit"
Nyckelfrasen från Heartlands VD och och CFO Robert H.B. Baldwin Jr. "were grabbing numbers with sniffer malware as it went over our processing platform..." Avslöjar att det handlar om kortinformationj "in transit" alltså inte lagrad kortdata som stals. Tex. har Microsoft lösningar för diskkrypton, vilket i detta fall inte skulle ha hjälpt. All transport över "öppna" nätverk (internet) ska ju skyddas enligt PCI DSS, men i det här fallet verkar det som att man sniffat trafik in transit på Hartlands interna nätverk. Det här verkar vara ett bra exempel varför man inte ska stirra sig blind på ett krav i taget i PCI DSS. Att fylla kravet att bara skydda data över öppna nätverk när det transporteras räcker alltså inte alltid. Att sikta på att bara fylla kraven för att bli "compliant" är inte det bästa sättet att undvika att råka ut för kortdataförlust. Ett informationssäkerhetsperspektiv där man utgår från informationen och bygger skydd i lager-på-lager, kan även likans vid en "lök" med inforamtionen i mitten och skyddande "ringar" av säkerhetsmekanismer runt om. Det är ett mycket mer effektivt sätt för företag att skydda sin käsnliga information.
Att vara både VD eller "President" och CFO avslöjar ju också hur seriöst man tar informetionssäkerhetsfrågorna på ett bolag. Min erfarenehet är att du hinner sällan med båda hattarna, oavsett hur litet eller stort företaget är. Hartland lovar nu end-to-end kryptering, vilket är bra men det låter som de tror att det är en lösning som skulle lösa alla deras problem. Ack så vanligt när man inte hinner sätta sig in i för- och nackdelar som alla lösningar har. Men som VD hinner man inte med några djupare analyser, det förstår jag.
Att vara både VD eller "President" och CFO avslöjar ju också hur seriöst man tar informetionssäkerhetsfrågorna på ett bolag. Min erfarenehet är att du hinner sällan med båda hattarna, oavsett hur litet eller stort företaget är. Hartland lovar nu end-to-end kryptering, vilket är bra men det låter som de tror att det är en lösning som skulle lösa alla deras problem. Ack så vanligt när man inte hinner sätta sig in i för- och nackdelar som alla lösningar har. Men som VD hinner man inte med några djupare analyser, det förstår jag.
Inbrottet på Hartland
Inbrottet på Hartland i min tidigare post hittades i januari. http://www.theregister.co.uk/2009/01/20/heartland_payment_breach/
Det kan kosta att bli av med kortdata
Det kan kosta att bli av med kortdata... http://www.theregister.co.uk/2009/05/07/heartland_breach_costs/
tisdag 5 maj 2009
En liten delvinst för den personliga integriteten
Angående Antipiratbyråns mejl till svenska torrentsajter i DN. och Ifpi trappar upp piratjakten i samma tidning.
Antifiratbyrån vill nog smida medan järnet är varm och testa var gränserna går. Delvis för att många inte tror på att TPB kommer bli fällda i högre instanser?
Jag tror att man på Ifpi och Antipiratbyrån ser att strategin att få ut personuppgifter för att gå i process med enskilda fildelare inte håller i längden eftersom det sedan länge finns anonymitetstjänster som man som fildelare kan använda. Man ser att i takt med att fler använder dem kommer man förlora chansen att ställa personer inför rätta. En lag som förbjuder ISP:erna att radera sina loggar är på väg men även om den antas hjälper den inte mot anonyma användare. Man känner att man ligger efter. Ifip, Antipiratbyrån med bakomliggande distributörer har istället riktat in sig på att försöka få internetlevarantörerna att filtrera bort fildelningstrafik. Den nya strategin visas i brevet på Dangens Nyheter.
Frågan är om man kan få igenom en censur av trafik på Internet?
I vilket fall, om Ifip mfl. känner att de måste hitta en ny strategi, kan det vara en delvinst för den personliga integriteten.
Antifiratbyrån vill nog smida medan järnet är varm och testa var gränserna går. Delvis för att många inte tror på att TPB kommer bli fällda i högre instanser?
Jag tror att man på Ifpi och Antipiratbyrån ser att strategin att få ut personuppgifter för att gå i process med enskilda fildelare inte håller i längden eftersom det sedan länge finns anonymitetstjänster som man som fildelare kan använda. Man ser att i takt med att fler använder dem kommer man förlora chansen att ställa personer inför rätta. En lag som förbjuder ISP:erna att radera sina loggar är på väg men även om den antas hjälper den inte mot anonyma användare. Man känner att man ligger efter. Ifip, Antipiratbyrån med bakomliggande distributörer har istället riktat in sig på att försöka få internetlevarantörerna att filtrera bort fildelningstrafik. Den nya strategin visas i brevet på Dangens Nyheter.
Frågan är om man kan få igenom en censur av trafik på Internet?
I vilket fall, om Ifip mfl. känner att de måste hitta en ny strategi, kan det vara en delvinst för den personliga integriteten.
fredag 24 april 2009
Ipredkoll
ipredkoll.se är ett Piratbyrån-projekt som kommer hjälpa internauter, bloggare och journalister att granska den nya ipred-lagen. Här kommer du få reda på om ditt IP-nummer bevakas av de nyligen instiftade privata poliskårerna.
onsdag 15 april 2009
PCI for Dummies!
PCI for Dummies. Har bara skummat den lite men jag tror att den kan vara en bra start för den som är intresserad att lära sig mer om betalkortsstandarden PCI DSS. Själv åker jag till Amsterdam i slutat av april för att certifiera mig till Qualified Security Assessor QSA så jag kan göra PCI-revisioner av företag som vill certifiera sig mot PCI DSS. Med courtesy of Qualys...
Prenumerera på:
Inlägg (Atom)