Was wir aus der Facebook-Verletzung gelernt haben

Die Schlagzeilen über die Datenschutzverletzung bei Facebook sind weiterhin im Überfluss vorhanden.

Ganz anders als die Site-Hackings, bei denen Kreditkarteninformationen bei großen Einzelhändlern gestohlen wurden, hatte das fragliche Unternehmen, Cambridge Analytica, das Recht, diese Daten tatsächlich zu verwenden.

Leider haben sie diese Informationen ohne Erlaubnis und in einer Weise verwendet, die sowohl Facebook-Nutzer als auch Facebook selbst offenkundig täuscht.

Facebook-Chef Mark Zuckerberg hat geschworen, Änderungen vorzunehmen, um diese Art von Informationsmissbrauch in Zukunft zu verhindern, aber es scheint, dass viele dieser Optimierungen intern vorgenommen werden.

Einzelne Benutzer und Unternehmen müssen immer noch ihre eigenen Schritte unternehmen, um sicherzustellen, dass ihre Informationen so geschützt und sicher wie möglich bleiben.

Für Einzelpersonen ist der Prozess zur Verbesserung des Online-Schutzes ziemlich einfach. Dies kann vom vollständigen Verlassen von Websites wie Facebook bis zur Vermeidung von sogenannten kostenlosen Spiele- und Quiz-Sites reichen, auf denen Sie Zugriff auf Ihre Informationen und die Ihrer Freunde gewähren müssen.

Ein separater Ansatz besteht darin, verschiedene Konten zu verwenden. Einer könnte für den Zugang zu wichtigen Finanzseiten verwendet werden. Eine zweite und andere könnten für Social-Media-Seiten verwendet werden. Die Verwendung einer Vielzahl von Konten kann mehr Arbeit verursachen, fügt jedoch zusätzliche Ebenen hinzu, um einen Eindringling von Ihren Schlüsseldaten fernzuhalten.

Unternehmen hingegen benötigen einen umfassenderen Ansatz. Während fast alle Firewalls, Zugriffskontrolllisten, Verschlüsselung von Konten und mehr verwenden, um einen Hack zu verhindern, versäumen viele Unternehmen, den Rahmen aufrechtzuerhalten, der zu Daten führt.

Ein Beispiel ist ein Unternehmen, das Benutzerkonten mit Regeln verwendet, die regelmäßige Änderungen von Passwörtern erzwingen, aber die Anmeldeinformationen für Infrastrukturgeräte für Firewalls, Router oder Switch-Passwörter nachlässig ändern. Tatsächlich ändern sich viele davon nie.

Nutzer von Webdatendiensten sollten auch ihre Passwörter ändern. Für den Zugriff sind ein Benutzername und ein Passwort oder ein API-Schlüssel erforderlich, die beim Erstellen der Anwendung erstellt, aber auch selten geändert werden. Ein ehemaliger Mitarbeiter, der den API-Sicherheitsschlüssel für sein Kreditkartenverarbeitungs-Gateway kennt, könnte auf diese Daten zugreifen, auch wenn er nicht mehr in diesem Unternehmen beschäftigt war.

Es kann noch schlimmer kommen. Viele große Unternehmen nutzen zusätzliche Firmen, um bei der Anwendungsentwicklung zu helfen. In diesem Szenario wird die Software auf die Server der zusätzlichen Firmen kopiert und kann dieselben API-Schlüssel oder Benutzernamen/Passwort-Kombinationen enthalten, die in der Produktionsanwendung verwendet werden. Da die meisten nur selten geändert werden, hat ein verärgerter Mitarbeiter einer Drittfirma jetzt Zugriff auf alle Informationen, die er zum Abrufen der Daten benötigt.

Es sollten auch zusätzliche Prozesse ergriffen werden, um eine Datenschutzverletzung zu verhindern. Diese schließen ein…

• Identifizieren aller Geräte, die am öffentlichen Zugriff auf Unternehmensdaten beteiligt sind, einschließlich Firewalls, Router, Switches, Server usw. Entwickeln Sie detaillierte Zugriffskontrolllisten (ACLs) für alle diese Geräte. Ändern Sie erneut die Passwörter, die für den häufigen Zugriff auf diese Geräte verwendet werden, und ändern Sie sie, wenn ein Mitglied einer ACL in diesem Pfad das Unternehmen verlässt.

• Identifizieren aller eingebetteten Anwendungskennwörter, die auf Daten zugreifen. Dies sind Passwörter, die in die Anwendungen, die auf Daten zugreifen, „eingebaut“ sind. Ändern Sie diese Passwörter häufig. Ändern Sie sie, wenn eine Person, die an einem dieser Softwarepakete arbeitet, das Unternehmen verlässt.

• Wenn Sie Drittanbieter zur Unterstützung bei der Anwendungsentwicklung einsetzen, richten Sie separate Anmeldeinformationen für Drittanbieter ein und ändern Sie diese häufig.

• Wenn Sie einen API-Schlüssel für den Zugriff auf Webdienste verwenden, fordern Sie einen neuen Schlüssel an, wenn Personen, die an diesen Webdiensten beteiligt sind, das Unternehmen verlassen.

• Antizipieren Sie, dass ein Verstoß auftritt, und entwickeln Sie Pläne, um ihn zu erkennen und zu stoppen. Wie schützen sich Unternehmen davor? Es ist etwas kompliziert, aber nicht unerreichbar. In die meisten Datenbanksysteme ist Auditing integriert, und leider wird es nicht richtig oder überhaupt nicht verwendet.

Ein Beispiel wäre, wenn eine Datenbank über eine Datentabelle verfügt, die Kunden- oder Mitarbeiterdaten enthält. Als Anwendungsentwickler würde man erwarten, dass eine Anwendung auf diese Daten zugreift. Wenn jedoch eine Ad-hoc-Abfrage durchgeführt wurde, bei der ein großer Teil dieser Daten abgefragt wurde, sollte eine ordnungsgemäß konfigurierte Datenbanküberwachung zumindest eine Warnung ausgeben, dass dies geschieht .

• Nutzen Sie das Änderungsmanagement, um Änderungen zu kontrollieren. Um die Verwaltung und Nachverfolgung zu vereinfachen, sollte eine Änderungsverwaltungssoftware installiert werden. Sperren Sie alle Nicht-Produktionskonten, bis eine Änderungsanforderung aktiv ist.

• Verlassen Sie sich nicht auf die interne Revision. Wenn ein Unternehmen sich selbst auditiert, minimiert es in der Regel potenzielle Fehler. Es ist am besten, einen Dritten zu beauftragen, um Ihre Sicherheit zu überprüfen und Ihre Richtlinien zu überprüfen.

Viele Unternehmen bieten Wirtschaftsprüfungsdienste an, aber im Laufe der Zeit hat dieser Autor festgestellt, dass ein forensischer Ansatz am besten funktioniert. Es ist eine Notwendigkeit, alle Aspekte des Rahmens zu analysieren, Richtlinien zu erstellen und zu überwachen. Ja, es ist mühsam, alle Geräte- und eingebetteten Passwörter zu ändern, aber es ist einfacher, als sich bei einer Datenschutzverletzung vor das Gericht der öffentlichen Meinung zu stellen.


Source by David Moye

About admin

Check Also

Wie groß ist BIG DATA?

Haben Sie sich jemals gefragt, wenn Sie Ihr Bild hochladen oder einen Status oder sogar …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.