Telemedycyna

Wyborcza.biz opisała dziś zagadnienie porad medycznych na telefon. Autorzy opisywali jak wygodniejsze życie mogą mieć pacjenci gdy zostaną wprowadzone tego typu usługi.

Niestety w życiu często tak to bywa, że jeśli coś jest wygodniejsze to często jest mniej bezpieczne (pamiętacie system operacyjny DOS i brak wielowątkowości - żaden dzisiejszy trojan by tego nie obszedł)

Czytając artykuł od razu wyobrażałem sobie różnego rodzaju zagrożenia związane z telemedycyną:

- gdyby już nie tylko monitorować serce ale i być w stanie zdalnie na nie wpłynąć (kwestia czasu jak zakładam) to można by przechwycić sygnał i zdalnie kogoś uśmiercić;
- przechwyconą transmisję z serca dotyczącą poważnych kłopotów można zagłuszyć i zmodyfikować na "wszystko OK" czym doprowadzi się do śmierci;
- przy zdalnych konsultacjach jeszcze wygodniejsze byłoby wyłudzanie lekarstw na recepty;
- wyobraźmy sobie sytuację podszywania się pod centrum medyczne i udzielania porad medycznych "dla jaj";
- teoretycznie rozszerzony dostęp do wiedzy medycznej można łatwo spożytkować do np. wyciągania informacji o alergiach i uczuleniach (celem uśmiercenia);
- szerszy dostęp to więcej szans na nieautoryzowaną modyfikację danych (na przykład grupy krwi), co może się skończyć w wiadomy sposób;
- no i pomyślmy o firmach oferujących ubezpieczenia na życie - wszystkie informacje mieliby dostępne online (tu na przykład mogłaby im przyjść z pomocą socjotechnika).

Może w przyszłości faktycznie będziemy się leczyć online. Ja jednak byłbym tu ostrożny. Bardzo ostrożny!

Cisco 2010 Midyear Security Report

Cisco właśnie opublikował najnowszy raport bezpieczeństwa.
Ponieważ jakoś przeoczyłem poprzedni tym chętniej zabrałem się do lektury.
W tym momencie tylko sygnalizuję,że istnieje ta pożyteczna lektura, w najbliższych dniach napiszę o niej coś więcej.

Ryzyko czy szansa?

Rafał Rudnicki opublikował na blogu kolejny artykuł na temat ryzyka.
Miedzy innymi zajmuje się tematyką różnicy między ryzykiem a szansą.
Te zagadnienia są sobie szczególnie bliskie.
Trzeba ryzykować by osiągnąć korzyść, wybić się przed konkurencję, wprowadzić nowe usługi itp. Jeżeli nam się uda to wspaniale - wygrywamy. Jeżeli nie to ponosimy stratę. Przytaczając Paula Hopkina zwraca uwagę na 2 rodzaje sytuacji, które zawsze są negatywne, które nie mogą zamienić się w korzyści:

Ryzyka hazardowe (ogień, powódź, kradzież, utrata klienta) mogą być wyłącznie negatywne (akademicy nazwaliby je ryzykami czystymi). Pojęcie tego ryzyka pojawiło się już dawno - jeszcze przed latami 80-tymi. Menedżer ryzyka będzie się starał zmniejszyć możliwą do wystąpienia stratę.
Jest jeszcze "ryzyko kontroli" lub po prostu ryzyko niepewności czy też ryzyko spekulacyjne - to pojęcie pojawiło się w latach 90-tych. Podobnie jak w ryzykach hazardowych możemy mieć do czynienia jedynie z bilansem ujemnym, ale ma on nieco inne podłoże. Ryzyko kontroli dotyczy zjawisk które z natury obarczone są niepewnością, a do wyników których chcemy mieć jak najwyższą pewność (np wynik prowadzonych projektów). Bilans ujemny to niekoniecznie wynik działania samego ryzyka, ale nakłady jakie jesteśmy skłonni ponieść na kontrolowanie tego typu ryzyk - sprowadzenie wszystkich możliwych scenariuszy i wyników do jak najwęższego zakresu; to jest zwykle zadanie risk managera.

Zachęcam do lektury całego artykułu.

Walka z powodzią - ciągłość działania w praktyce

Onet opublikował na swoim blogu bardzo ciekawe studium przypadku. Tegoroczna powódź bardzo zagroziła ich głównej serwerowni - by zapewnić ciągłość działania onet.pl trzeba było uruchomić plany kryzysowe. Polecam zarówno lekturę całej historii, jak i przejrzenie galerii zdjęć - szczególnie tych ostatnich.

Marcin Kluczewski - Kierownik Zespołu Administratorów Drugiej Linii Wsparcia w onet.pl zwrócił też uwagę na jedną prawidłowość o której często się zapomina (moje pogrubienie):

"Następnym krokiem, jaki został podjęty w związku z zagrożeniem było przepięcie wszystkich usług i systemów działających produkcyjnie na infrastrukturę zapasową w innych centrach danych. Decyzja była trudna, ponieważ architektura części z przepinanych systemów powodowała, że przepięcie możliwe było „w jedną stronę” a w każdym razie powrót z danym systemem z powrotem do lokalizacji początkowej wiązałby się z dużym nakładem pracy."

No i oczywiście koniecznie trzeba podkreślić tę myśl:

"I na koniec jeszcze jedna ważna uwaga: choćbyśmy mieli najlepsze i najbardziej szczegółowe plany są one niewiele warte, jeżeli nie są przetestowane. Tylko regularne testy zapewnią nas, że plan jest realny i wykonalny, oraz że żadne zmiany, które wykonaliśmy w infrastrukturze nie spowodowały, że stał się on nieaktualny."

Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego

W publikacji "CYBERTERRORYZM - nowe wyzwania XXI wieku" powstałej po ubiegłorocznej konferencji pod tym samym tytułem przedstawiłem referat "Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego".

Wymieniłem w nim między innymi kilka potencjalnych zagrożeń dla całego sektora bankowego, na których nadejście należy być przygotowanym. Cyberterrorystyczne ataki skierowane na sektor bankowy mogą między innymi skutkować:
- Zakłóceniem swobodnego przepływu środków pieniężnych;
- Zafałszowaniem danych dotyczących bieżącej sytuacji gospodarczej i finansowej;
- Manipulowaniem notowaniami kursowymi bądź giełdowymi;
- Odebraniem firmom i osobom prywatnym bieżącego dostępu do zgromadzonych środków;
- Zafałszowaniem informacji dotyczących poziomu zadłużenia;
- Kradzieżą i legalizacją znacznych sum.

Źródło: Syta J., Sektor bankowy jako potencjalny cel ataku cyberterrorystycznego. Cyberterroryzm - nowe wyzwania XXI wieku. Praca zbiorowa Jemioła T., Kisielnicki J. i Rajchel K. [red.], Wydział Wydawnictw i Poligrafii Wyższej Szkoły Policji w Szczytnie, Warszawa 2009, str. 696-703

Najlepszą metodą zabezpieczenia się przed tego typu atakami jest przeciwdziałanie - wykrycie ataku zanim nastąpi i skuteczne przeciwdziałanie. Co jednak jeśli nie uda się go wykryć wcześniej? Czy banki są przygotowane na reakcję post factum?

"Co", "Jak" i "Dlaczego"

Trafiłem ostatnio na kolejne ze świetnych (moim zdaniem) wystąpień na TED. Simon Sinek wyjaśnia w bardzo prosty sposób jak zdobywać innych, jak przekonywać ich do kupna produktów, zachęcać do swoich idei. Nie chodzi tu o komunikowanie "co" i "jak" należy robić ale o docieranie do wnętrza człowieka, do tłumaczenia "dlaczego".


To co mnie cieszy to fakt, że w swoich prezentacjach i artykułach dotyczących roli komunikacji w zarządzaniu bezpieczeństwem również zwracam uwagę na ten aspekt, jako kluczowy dla właściwego zabezpieczania informacji.