fredag 18 september 2009

Den sociala sidan av katastrofen

En medelålders man i Ohio står åtalad för ett federalt brott som kan ge honom 5 års fängelse och 250.000 kronor i böter. Allvarliga konsekvenser för honom personligen, men sedelärande för många (för att inte säga alla som använder dator mot Internet).

Jag läser noga artikeln i CIO Magazine i Australien. Svartsjuka låg bakom Grahams handlingar som har lett till allvarliga konsekvenser för Akron Children Hospital. Graham skaffade sig programmet SpyAgent för mindre än 1.000 kronor och mejlade det till sin förra flickvän i form av en bilaga. Kvinnan klickade på bilagan till mejlet och fick programmet installerat på sin jobbdator, istället för på hemdatorn som Graham hade tänkt sig. Under 10 dagar skickade spionprogrammet drygt 1.000 skärmbilder till Graham. Innehållet i skärmbilderna varierade, men en hel del känslig patientinformation och finansiell information har läckt ut.

Det här är en otroligt olycklig händelsekedja utlöst av svartsjuka från en "vanlig" man (average Joe) och med en kommersiell produkt som verktyg. Det har inte krävts någon som helst "hackarkompetens" för att åstadkomma den här formen av skada. Det är enormt lätt att föreställa sig vilken skada riktade attacker av välutbildade, välfinansierade och motiverade gäng kan leda till. Vill man ta det här ett steg längre är frågan egentligen hur mycket skada som sker dygnet runt, utan att vi känner till det?

Standardfraserna/jargongen bland "de som kan" det där med säkerhet låter säkert som att "användarna är största hoten", "om inte användaren klickar runt hej vilt..." och liknande. Men, jag vill personligen sätta "P" för det. Det är tre områden som vi alla måste adressera:

1. Hela tiden erbjuda de som servar slutanvändaren med rätt kunskap och verktyg för att eliminera riskerna så långt som möjligt.
2. Säkerställa att alla får en medvetenhet för att "skit händer" och hjälpa till med kunskap/verktyg för att hantera effekterna.
3. Ställa högre krav på it-produkter och tjänster. Minimikravet bör ställas enligt följande: "Leverera det som marknadsföringen lovar!"

I det aktuella fallet är det 100 % klart att den ansvarige är Graham och ingen annan. Men, i de mer komplicerade fallen kan inte ansvaret hamna på den som försöker göra sitt jobb. Snarare är deras arbetsverktyg felaktiga i grunden.

/Predrag



SpyAgent - en skärmbild


2 kommentarer:

  1. Den han gjorde är inte sämre än det som försvaret vill göra, eller? Det är alltid den gamla visa, man få inte tjäla mer än regeringen!;)

    SvaraRadera
  2. Alltid lika läskigt när det går fel...
    Ett litet 'practical joke' kan kostar 5 år av livet (samt 250 000:-)

    Nej, ska man skämta ska man göra det mot VÄLDIGT riktade mål, typ VNC på kompisens dator under ett LAN eller så :)

    Man funderar ju litegrann när sånna här händelser inträffar, kanske striktare policies på jobbdatornerna på det där sjukhuset hade hjälpt? Att man har ett avskärmat nät för "personliga" datorer och "patient" datorer.

    Samt att man inte låter personalen kolla sin egen mail på jobbets system. Säg att dem istället har en ULPC som man kan använda personligt som inte har någon tillgång till journalsystemet.

    Fast det vore kanske "för dyrt"...

    SvaraRadera