Ads 468x60px

perjantai 10. elokuuta 2012

”All publicity is good publicity”

Loman jälkeen päivitin itseäni ajan tasalle. Tein kevään OpenX-ongelmista1 jonkin sortin post mortemia. Tuli yksi oivallus. OpenX firmana saattaa hyötyä viallisen softansa todennäköisesti sadoille asiakasorganisaatioille ympäri maailmaa aiheuttamista ongelmista. Saivatpahan julkisuutta! Ennen näitä murtoja OpenX-mainosalustaa käytti yksi prosentti maailman Web-palveluista2. Nyt siitä tietää huomattavasti suurempi joukko. Google Trendsin näkökulmasta tapauksien julkisuus ei ole ollut suurta3, mutta minä en tiennyt mitään koko tuotteesta ennen tätä. Hyötyy OpenX juuri tässä tapauksessa tai ei, seuraava logiikka käsittääkseni pätee yleisesti:

Julkisuutta kiinnostava tietoturvavahinko toimii välttämättä samalla markkinointitiviestintänä. ”All publicity is good publicity”, sanoi Hollywoodin povipommi Mae West. Julkisuuden haittojen minimoimiseksi ja hyötyjen maksimoimiseksi kannattaisi olla suunnitelma. Oma organisaatio pitäisi saada näyttämään mahdollisimman hyvältä sen prosessin aikana, kun moka ja ongelma huomataan ja korjataan. Tänä päivänä kukaan ei tuomitse lopullisesti mitään softaa tai organisaatiota vain siksi, että sinne murtauduttiin. Jokainen ymmärtää, että täydellistä turvallisuutta ei ole, ja että järkeviä riskejä on pakko ottaa.

Tarvitaan nopea prosessi sen päättämiseksi, milloin vahinkoa ei voida, tai ei kannata enää pitää ainakaan kokonaan salassa. Kaikki mikä kerrotaan muualle kuin viranomaisille tulee melko varmasti pian julkisuuteen, joten se kannattaa kertoa saman tien tehokkaasti kaikille, esim. julkistaa Web-sivulla ja lehdistötiedotteena. Pitää valmentaa ja saattaa ajan tasalle sopiva henkilö (johtaja tai tiedottaja, ei nörttiä tai kesäapulaista) kertomaan ongelmasta soitteleville toimittajille ja muille, joita asia saattaa kiinnostaa, tai jopa koskea omakohtaisesti. Lisäksi suunnitteilla oleva EU:n tietoturva-asetus saattaa vaatia joka tapauksessa tiedottamaan esimerkiksi niille tahoille, joiden henkilötietoja on joutunut vääriin käsiin. Käytännössä tämäkin tieto menee helposti julkisuuteen.

Organisaation pitää osoittaa, että se ymmärtää ongelman ja korjaa sen. Analyysi ongelman konkreettisista, teknisistä detaljisyistä kertoo ymmärtämisestä. Tiedotus kenties myös organisaation prosesseihin liittyvistä juurisyistä olisi hyvä tuoda julkisuuteen. Esimerkki: ”Käytimme sisäverkossa Acme Oy:n tuotetta, jossa oli XYZ-tyyppinen haavoittuvuus. Haavoittuvuus oli tiedossa, mutta siihen ei ollut valmistajalta saatavana päivitystä. Hyökkäys tuli sisään saastuneella Web-sivulla olleesta linkistä. Päivitys on nyt saatu ja asennettu, siivoamme järjestelmiä ja jatkossa vaadimme järjestelmiemme valmistajilta nopeampaa päivityssykliä ja tarvittavia suojauskeinoja.”

Laittakaa tietoturvavahinkojen käsittelyyn liittyvät prosessit ajoissa kuntoon, ja katsokaa, että esiinnytte eduksenne, kun jodutte/pääsette julkisuuteen esittelemään (erinomaisia) tietoturvaprosessejanne!

(1)
http://www.cert.fi/ohjeet/2012/ohje-2012-04.html, tsekkaa ainakin CERT.Fin antama linkki takaisin tähän blogiin ;-)

(2)
http://w3techs.com/technologies/details/ad-openx/all/all

Ei kommentteja:

Lähetä kommentti