Les darreres setmanes, molts mitjans de comunicació s’han fet ressò de l’atac realitzat contra la PlayStation Network, el servei online de Sony per a la connexió dels usuaris de les consoles de jocs, que va comportar el seu tancament temporal. Uns dies després vàrem conèixer que la incidència no afectava únicament a la disponibilitat del servei, sinó que els atacants havien aconseguit l’accés a dades sensibles dels usuaris registrats, entre les quals hi trobaven les dades de les targetes de crèdit. El servei va estar tres llargues setmanes aturat, amb un cost que supera els cent setanta milions de dòlars.
Naturalment encara és d’hora per a poder avaluar quin serà l’impacte que pot tenir aquest episodi entre els clients de Sony. Val a dir, però, que l’experiència ens diu que els usuaris no acostumem a donar molt de pes a les qüestions relacionades amb la seguretat alhora de prendre decisions sobre quins serveis contractar o quins productes escollir. Això em fa creure que, més enllà del pes que pugui tenir avui per l’actualitat, és qüestió d’unes poques setmanes que passi a ser totalment oblidada.
Un proveïdor de serveis a la xarxa assumeix un seguit de responsabilitats cada vegada que sol·licita dades als seus usuaris, que van des de fer un bon ús d’aquestes a garantir-ne la confidencialitat. En el cas de Sony hem vist clarament com la multinacional japonesa no ha estat capaç de garantir això i com a resultat tenim el robatori d’informació personal més gran mai registrat, amb un volum que pot arribar a afectar uns setanta-set milions d’usuaris.
De tot això, crec que n’hem de treure tres lliçons importants.
En primer lloc, la seguretat malgrat tot és important. No hi ha massa detalls sobre com va ser l’atac, però si que coneixem que el punt d’entrada va ser aprofitar-se de l’existència d’una versió obsoleta d’un servidor Apache. Sovint s’ha fet l’analogia de la seguretat com una cadena, on la seva resistència la marca la baula més feble. En aquest cas, la baula era aquest servidor sense un nivell de manteniment adequat, indicador d’un cert grau de negligència per part de Sony i la constatació que no ha pres les mesures necessàries per a fer-se fideïcomissària de les dades de prop de cent milions d’usuaris.
Quan la xarxa va tornar a obrir al públic, Sony va fer dos anuncis: en primer lloc, que oferia un “pack de tornada” als usuaris, regalant-los diversos jocs per fer-se perdonar, però també que no descartava l’existència de nous incidents de seguretat . És a dir, torneu-nos a facilitar les vostres dades i en el cas que les tornem a perdre, no ens doneu les culpes… us vàrem avisar!
La segona lliçó és que la seguretat no només depèn d’una banda. També nosaltres, com a usuaris, en som responsables. Hem de saber valorar que les nostres dades no només són importants: el seu mal ús ens pot originar problemes, que poden anar del nivell de les molèsties (rebre més correu brossa si es divulga la nostra adreça de correu), els petits inconvenients (haver d’anul·lar càrrecs no procedents a la nostra targeta de crèdit) fins a seriosos problemes (que es faci ús de les nostres dades per suplantar-nos en la contractació de serveis amb altres empreses, els quals acaben sent maldecaps a l’haver d’anul·lar-los).
Com a usuaris hem de prendre consciència de facilitar només aquella informació mínima que considerem necessària en cada moment. Normalment no actuem així i tenim la tendència a facilitar tot allò que ens demanen… i si alguna vegada ens demanen més del compte, ben segur que el regal d’una memòria USB o el fet de participar en el sorteig de qualsevol andròmina fa que superem les nostres reticències.
Fa temps que espero trobar una entitat financera que tingui la visió d’oferir un producte ben simple i útil: la possibilitat de definir una targeta de crèdit virtual, amb una capacitat de crèdit limitada, associada a un servei en particular i amb un volum d’informació menor del que actualment associem a les targetes de crèdit. És a dir, que si haig de facilitar les dades de la targeta a Sony, posem per cas, pugui definir un número de targeta virtual únic. Quan m’hagi de subscriure a qualsevol altre lloc on sigui necessari fer un pagament, hauré de generar una nova targeta de crèdit virtual.
En qualsevol cas, els usuaris hem d’assumir la nostra pròpia responsabilitat en tot el procés i no delegar-la exclusivament en el bon quefer dels altres. La millor mesura de seguretat comença pel nostre ús responsable.
La tercera i última lliçó és sobre la importància que la seguretat ha de tenir en els serveis actuals, especialment a mesura que cada vegada depenem més del serveis virtuals que pengen d’Internet per a la realització de tota mena de tasques. El núvol ens ofereix molts serveis innovadors i útils, amb funcionalitats que fins ara només podíem somiar i que ara ja comencen a ser una realitat. Però aquestes funcionalitats no han de posar-nos una banda als ulls per ignorar els problemes de base.
La seguretat ha de ser un element fonamental en el disseny dels serveis i ha de trobar-se en totes les capes de la infraestructura que utilitzem, aplicant-se d’una forma acurada per part de tots els participants. Començant per l’usuari, però molt especialment per a totes les empreses a les que delegem la correcta conservació d’una informació que és propietat nostra.
Xavier Caballé
Autor del bloc “L’home dibuixat“
