torsdag, december 18, 2008

Öppen säkerhet

Jag lyssnade igår på Studio Ett, som handlade om skimning. De tog naturligtvis upp fallet från häromdagen, när falska kortterminaler hittades på Toys'R'Us i Malmö och Stockholm, och det slog mig hur Toys'R'Us gjorde allting rätt. Så fort de hittade den första terminalen kontaktades internrevisionen, som omedelbart anmälde det inträffade till polisen och kortföretaget. En beskrivning av den falska terminalen skickades ut till alla butiker, varvid terminalen i Stockholm upptäcktes. Man vidtog den beundransvärt lågteknologiska motåtgärden att klistra alla sina terminaler fulla med klistermärken, så att det inte enkelt går att byta ut dem utan att det upptäcks.

Det man framförallt inte gjorde var att lägga locket på. Man berättade öppet för pressen och polisen vad som hänt och vad man gjorde. Det är lovvärt. Det inger förtroende.

Man kan jämföra det med hur ASSA hanterade säkerhetsproblemen med sitt 2000 Evo-lås. De visste att det fanns ett sätt att öppna låset utan åverkan på några sekunder (eventuellt var det till och med en avsiktlig brist, för att låssmeder skulle kunna öppna låset). De visste i flera månader att kunskapen om det här var på vift. De gjorde ingenting. I godan ro fortsatte de sälja låsen. Inte förrän en video som visar hur man öppnar låset lades upp på YouTube reagerade de, genom att stoppa försäljningen av låset, samt att se till att videon försvann från YouTube. (Som om det skulle hjälpa - den var redan spridd över hela Internet.) Och sedan förnekade de allt ansvar.

Det var ingen bra strategi. ASSA kölhalades i pressen, det planerades en grupptalan mot företaget, och till slut fick de backa. Nu kan alla utsatta kunder gratis få ett L-järn, som mycket enkelt skyddar mot problemet.

Hur svårt hade det varit att göra rätt från början?

Säkerhetsproblem och säkerhetsincidenter kan inte hanteras genom att lägga på locket. Utan öppen och effektiv kommunikation går det inte att göra nånting åt dem.

Jag känner till en lång rad dataintrång där offren inte vill göra polisanmälan, för de tror att det leder till negativ publicitet. Ibland har intrången varit allvarliga och lett till stora ekonomiska förluster, men inte ens när man haft en hygglig idé om gärningsmannens identitet har man velat polisanmäla. Varpå gärningsmannen har kunnat fortsätta med sin verksamhet mot nya offer. Det är... suboptimalt och inte så lite frustrerande.

Så all cred till Toys'R'Us. De gjorde rätt.

Inga kommentarer:

 
MediaCreeper Creeper