Ile kosztuje (nie) bezpieczeństwo? Yahoo megawyciek!

Ile kosztuje (nie) bezpieczeństwo? Yahoo megawyciek!

Często spotyka się opinię najwyższego kierownictwa, że bezpieczeństwo nie jest priorytetem. nie raz już o tym pisałem, opisywałem zjawisko długu technologicznego

Ostatnio pojawiło się sporo przykładów tego jak może jednak skończyć się ignorowanie praktyk opisywanych przez standardy bezpieczeństwa. Niektóry przykłady można dobrze wycenić.. 

W nowym tagu "niebezpieczeństwo" będę gromadzić takie przypadki.

O zakupach i próbach sprzedaży dotyczących Yahoo tworzone są już nawet memy. Ostatnio Verizon zaoferował 4,8 miliarda $ za zakup Yahoo.

"Czystym przypadkiem" okazało się w ostatnich dniach, że serwis w 2014 stracił trochę informacji o użytkownikach i zrobiło się o nim dość głośno. Nawet pierwotne 500 000 utraconych rekordów daje mu pierwszeństwo na listach największych megawycieków w historii. A pogłoski o tym, że mogło być tego nawet 2 więcej, jeżeli zostaną potwierdzone, to prawdopodobnie przez długi czas nie zdejmą go z tej zaszczytnej pozycji. W rezultacie Verizon skorygował swoją ofertę o bagatela miliard $. Innymi słowy - brak bezpieczeństwa potrafi kosztować ok. 20% wartości spółki!!!

Można przeczytać szereg historii o tym jak wyglądało bezpieczeństwo w Yahoo, jak Ci "paranoicy" (jak nazywano tam podobno dział bezpieczeństwa) prosili o kolejne środki… nie wierzę jednak by chodziło o wydanie na bezpieczeństwo sum nawet zbliżonych do kwoty jaką Yahoo traci ze względu na luki bezpieczeństwa. Yahoo wskazuje na Chińskie tajne służby. Może to oczywiście być prawda, niemniej na pewno jest to najwygodniejsza z odpowiedzi. 

Pamiętajmy jednak, że luki bezpieczeństwa skądś się tam wzięły. Może były to trudne do zapobieżenia luki typu 0-day (choć dobre systemy to logowania i korelacji zdarzeń, na które Yahoo na pewno było stać, często są w stanie wykryć takie podejrzane zachowania) ale możliwe też luki były rezultatem niedbalstwa spowodowanego oszczędzaniem (10m$ w 2014 roku na szyfrowanie to jednak sporo), niską kulturą bezpieczeństwa (choć wiadomo, że dyskusje o wpływie bezpieczeństwa na organizację miały miejsce) lub niewłaściwym zrozumieniem potrzeb użytkowników (wygoda vs. bezpieczeństwo)? Tego jeszcze nie wiadomo. 

Możliwe, że więcej informacji wyjdzie w trakcie procesu, do którego już się szykuje ta korporacja.