Miért van szükség biztonsági auditra?

2010.03.26
2010.03.26

Az egyik hazai WEB áruháznál a napokban történt az alábbi eset. Mivel a történtekre ők sem büszkék, kilétük maradjon titok.

A történtek előzménye tipikusnak mondható abból a szempontból, hogy a mai magyar Web áruházak közül sokak hasonlóan kezdték pályafutásukat. A termékük piacképes volt, s tulajdonságainál fogva alkalmas volt arra hogy Web áruházon keresztül értékesítsék. Így nem kellett költséges üzlethelyiséget fenntartani, „csak” egy WEB áruházat kellett megfejleszteni, s feltölteni az adatokkal. Hamar kiderült, hogy WEB áruház fejlesztőt találni nem is olyan nehéz, hiszen inkább azok versenyeztek értük, mintsem nekik kellett volna hosszasan keresgélni. Kicsit furcsának is tűnt a végén, hogy egy igen szép WEB áruházat sikerült csináltatniuk egészen olcsón. A honlap a kellő sebességgel működött, szép volt, színes volt, semmi akadálya sem volt a gyors sikernek. A projekt végére szinte már baráti viszony alakult ki a fejlesztők és közöttük, így azt is megengedhették maguknak, hogy bizonyos kérdésekről ne szülessen szerződés, vagy legalább is valamilyen írásos megállapodás. Adatvédelmi kérdések fel sem merültek.

Néhány hónap múlva boldogan konstatálták, hogy megjelentek az első visszatérő vásárlók. A regisztrált vásárlók száma folyamatosan emelkedett, s egyre gyorsabban érte el a nemrég még hőn áhított kerek számokat. A fejlesztők minden esetben készségesen segítettek egy-egy probléma megoldásában, kétség sem fért hozzá, hogy többet adnak, mint amire szerződésük kötelezné őket.

Az egyik nap aztán furcsa észrevétellel fordult az egyik törzsvásárló hozzájuk. Nem működött a jelszava, amit már hónapok óta gond nélkül használt. Mivel nem volt olyan incidensmenedzsment rendszerük, amely az okok kivizsgálásával bíbelődött volna, gyorsan csináltak egy új hozzáférést a vásárlónak, s biztosra vették, hogy ő volt a feledékeny. A hét végére valakinek feltűnt, hogy egyre több a feledékeny vásárlók száma. Még ekkor sem történt semmi. Mikor a szokásos heti záráskor kiderült, hogy a megrendelések száma töredéke az múlt hetinek, akkor már többen sejtették, hogy valami rossz dolog történt. A fejlesztők magyarázataiban egyre több lett az érthetetlen, idegen szó, s az eddig magabiztosnak tűnők is egyre bizonytalanabbul fogalmaztak. Szidták az operációs rendszert, a fordítót, a gyártókat, s még Bill Gates neve is felmerült olyan szövegkörnyezetben, aminek ő sem (s a mamája se) örülne.

Pár nap múlva kiderült, hogy az összes regisztrált felhasználó hozzáférését reset-elte valaki, így a bőséges ügyfélkörből csak a feledékenynek hitt néhány vásárló maradt.

Gyanítható, hogy valaki kívülről tette mindezt, bár a rendszer hiányosságai miatt ez egyértelműen már sosem fog kiderülni.

A fejlesztők egybehangzóan állították, hogy a történtekért őket nem terheli felelősség, hiszen „ezét a pénzért” nem lehet „bombabiztos” weblapot csinálni. A megrendelés csak egy olyan WEB áruházról szólt, amilyet csináltak.

A kialakult helyzetért ki a felelős?

Kinek a dolga a biztonság?

Hogyan lehet volna megelőzni a problémát?

Mit jelent az, hogy „bombabiztos”?

Milyen biztonságosnak kell lennie egy WEB áruháznak?

S a legfontosabb: Hogyan tovább?

A kérdésekre a választ megkaphatja a Fair Business minősítés biztosnági auditja során.

normál szövegméret
nagy szövegméret