Kolejna zemsta admina – radiowa Jedynka boleśnie uczy się zarządzania hasłami
Wygląda na to, że mamy do czynienia z kolejną w ostatnim czasie kompromitacją, wynikającą z nieodpowiedniej polityki zarządzania hasłami. Nie lada zaskoczeniem musiał być bowiem dla słuchaczy Programu 1. Polskiego Radia mem, jaki ukazał się na łamach oficjalnej facebookowe strony tej stacji.
Pierwotnie mem ukazał się na stronie W Tworkach znowu podłączyli Internet., stamtąd został udostępniony na stronie Jedynki. Znajdował się tam resztą wystarczająco długo, aby wzbudzić liczne reakcje i wywołać komentarze. W końcu jednak go usunięto, zaś sprawę wyjaśnienia tego, kto udostępnił wpis, zlecono policji. Przedstawiciele stacji odmawiają komentarza, deklarując jednocześnie zmianę polityki dotyczącej kont w serwisach społecznościowych. Rychło w czas.
Według serwisu Wirtualne Media, za udostępnienie mema może stać były pracownik radia, który po pożegnaniu się ze stanowiskiem, w wyniku niedopatrzenia mógł on zachować prawa administracyjne na facebookowej stronie. To zaś stanowi kolejną okazje, by zastanowić się nad polityką zarządzania hasłami, gdyż w ostatnim czasie nie brakuje na tym polu spektakularnych wpadek.
Bez wątpienia największą kompromitacją ostatnich miesięcy, a być może największą w historii polskiego hostingu w ogóle, jest przypadek Grupy Adbweb, opisywany m.in. przez Zaufaną Trzecia Stronę. Tysiące kont wraz z kompletną zawartością zostało wówczas bezpowrotnie utraconych (stan sprzed 2015 r.), najprawdopodobniej w wyniku działań byłego administratora firmy. Po pożegnaniu się z firmą, zachował on rzekomo, w tej interpretacji, dostęp zarówno do głównych serwerów, jak i tych, gdzie przechowywane były kopie zapasowe (chronionych tym samym hasłem) i w wyrazie niezadowolenia z warunków pracy usunął przechowywane na nich pliki.
Polskie prawo nie reguluje precyzyjnie kwestii zarządzania hasłami i dostępu do służbowych kont, trudno jednak stwierdzić, aby było to konieczne. Firmy i korporacje same mogą wykształcić odpowiednie mechanizmy, które zabezpieczą je przed wpadką, jaką zaliczyła Jedynka, bez konieczności powoływania się na prawo.
I nie chodzi tutaj jedynie o odpowiednie klauzule w umowach pracy, dotyczące wrażliwych danych, jakie zazwyczaj regulują (czy też powinny regulować) te kwestie. Nie dla wszystkich bowiem wysoka kara finansowa czy konsekwencje sądowe są wystarczająco przekonujące. Problem można rozwiązać prościej, na przykład udostępniając pracownikowi konto z wprowadzonym już hasłem, które zna jedynie administrator.
Co zaś ma zabezpieczyć przed zemstą admina? Oczywiście polityka regularnej zmiany haseł. W przypadku Adweb, dostęp do hasła miał nie tylko sprawca, ale także jego poprzednik, czego w zasadzie nie da się usprawiedliwić. A wszystkim tym, którzy woleliby się jednak powoływać na prawo, warto zwrócić uwagę na opisywaną przez nas niedawno historię z USA.
Mimo że wielu chciałoby, aby dotyczyła ona rzekomej karalności dzielenia się hasłami do Netfliksa, to faktycznie traktowała właśnie o sprawie polityki zarządzania hasłami. Były pracownik, który wykorzystując dostęp do danych firmy, pozyskał z jej serwerów wrażliwe dane, co prawda został ukarany wysoką grzywną, ale post factum, po zrobieniu z nich użytku. Nic zatem nie jest w stanie zastąpić regulacji wewnętrznych i rozsądku, które jest przeciwnikiem lenistwa i zaniedbań.
