172
Dobra reputacja otwiera wiele drzwi tak samo jak jej utrata te drzwi najczęściej zamyka. Dla osób prywatnych być może nie ma to tak wielkiego znaczenia jak w przypadku przedsiębiorców. Firmy wysyłkowe bowiem, usługodawcy czy też sektor bankowy żyją przede wszystkim ze swojej renomy i dlatego też chcą ją również w internecie utrzymać lub zoptymalizować. Jeśli jednak ich klienci staną się ofiarami ataku „man in the middle“, dobra opinia bardzo szybko się ulatnia. Dlaczego? Bo w ataku „man in the middle“ ktoś niepowołany staje pomiędzy klientem a dostawcą, twierdząc, że jest dostawcą. Taki atak jest również możliwy w odwrotnym kierunku.
Zilustrujmy to następującym przykładem: przyjmijmy, że jesteś sprzedawcą internetowym i przesyłasz automatycznie e-maile z transakcjami, takimi jak faktury czy potwierdzenie zamówienia. W trakcie ataku „man in the middle“ e-maile te są przekazywane do nieznanych osób trzecich. Wysłana przez Ciebie np. faktura nigdy nie dotrze do konkretnego klienta, i o zgrozo nie będziesz w stanie tego zauważyć. W rezultacie oczywiście nie otrzymasz należnych pieniędzy, gdyż klient nie otrzymał Twojej faktury. Co w takim wypadku następuje? To jasne: wysyłasz przynaglenie do zapłaty. Jednakże przynaglenie do zapłaty bez otrzymania wcześniejszego rachunku wzbudza w Twoim kliencie uzasadnioną irytację i wpływa na utratę jego zaufania do Ciebie. Z marketingowego punktu widzenia to katastrofa.
Niestety może być jednak znacznie gorzej: przy skutecznym ataku poufne dane Twojego klienta takie jak adres, dane bankowe i nawyki zakupowe wpadną w niepowołane ręce. To prawdziwy problem dla towarzystw ubezpieczeniowych, kas chorych, instytucji kredytowych oraz platform randkowych, w których przekazywane są bardzo poufne dane ich usługobiorców.
Dotkliwe konsekwencje
Ochrona danych osobowych klientów jest zapewne nie tylko najwyższym priorytetem dla Ciebie, ale również dla dostawców usług poczty elektronicznej, którzy przesyłają je w Twoim imieniu. Artykuł 33 europejskiego prawa o ochronie danych osobowych (RODO) przewiduje określone konsekwencje w przypadku naruszenia danych osobowych. Jakie? Podmiot odpowiedzialny (tutaj przedsiębiorca marketingowy) musi poinformować zarówno urząd zajmujący się kontrolą tego typu naruszeń (w Polsce to Prezes Urzędu Ochrony Danych Osobowych, UODO) jak i osoby dotknięte utratą danych, o ich naruszeniu zgodnie z wytycznymi art. 34 RODO.
W takim przypadku nie tylko Twoja reputacja przedsiębiorcy marketingowego będzie zagrożona, ale grożą Ci co gorsza również konsekwencje finansowe. Jeżeli osoba lub zlecony przez Ciebie podmiot przetwarzający (w tym przypadku dostawca usług poczty elektronicznej) dopuści się naruszenia danych osobowych zgodnie z art. 58 rozporządzenia w sprawie publicznego dostępu do dokumentów tożsamości, to organy nadzoru dochodzą swoich uprawnień w zakresie prowadzenia dochodzenia, korekty i nakładania sankcji na osobę lub osoby odpowiedzialne za naruszenie danych osobowych. W najgorszym wypadku może to doprowadzić nawet do całkowitego zakazu przetwarzania takich danych przez Ciebie, co właściwie oznacza zakaz prowadzenia działalności gospodarczej dla Twojej firmy. Ponadto lub alternatywnie, art. 83 RODO przewiduje wysokie grzywny w wysokości do 20 mln EUR lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa. Ostatni przykład takiego surowego ukarania: brytyjski organ ochrony danych (ICO) nałożył grzywnę w wysokości 205 milionów EUR na British Airways po tym, jak nieznane osoby uzyskały dostęp do danych klientów tej linii lotniczej.
Istotny fakt: nie wystarczy jednak zabezpieczyć własny serwer w najlepszy możliwy sposób. Dlaczego? Ponieważ atak „man in the middle“ wykorzystuje słaby punkt transportu poczty elektronicznej z punktu A do punktu B. Aby więc chronić poufne dane Twoich klientów zgodnie z wymogami art. 5 ust. 1 lit. f) RODO, możesz sobie i swojej firmie pomóc stosując DNSSEC i DANE.
POLECAMY
Czym są DNSSEC i DANE?
DANE (DNS-based Authentication of Named Entities) jest metodą testową, która zabezpiecza utworzenie szyfrowanego połączenia pomiędzy klientem a serwerem. Poprzez porównanie certyfikatów (rekord TLSA), partnerzy komunikacyjni korzystający z DANE zamykają koncepcyjną słabość SSL/TLS, w której osoba trzecia mogłaby podszywać się pod "właściwy serwer" i spowodować, że klient przekaże swoje dane do "niewłaściwego właściwego serwera" czyli do osoby udającej Ciebie. Warunkiem wstępnym korzystania z DANE jest zastosowanie rozszerzeń bezpieczeństwa systemu nazw domen (DNSSEC), które zapewniają weryfikowalność cech testowych przekazywanych przez DNS, ponieważ nawet tutaj atakujący mogliby wprowadzić fałszywe informacje do DNS i doprowadzić klienta do niewłaściwego adresu.
Działa to w ten sposób:
Jak wygląda typowy transport poc...
Dalsza część jest dostępna dla użytkowników z wykupionym planem
