Georgia Technology Authority, tvrtka koja čuva i obrađuje podatke za državnu administraciju, nedavno je objavila da je otkrila provalu u bazu podataka, koja je rezultirala gubitkom povjerljivih osobnih informacija. Baza je sadržavala mirovinske planove 570.000 zaposlenih građana te južnjačke države.

Provalnik je vješto probio nekoliko slojeva zaštite. Da bi dobio pristup računalu s podacima, iskoristio je ranjivost neimenovanog zaštitnog softvera. Proizvođač je nekoliko dana ranije objavio da je otkrivena ranjivost i izdao zakrpu. Indicije o provali otkrivene su tijekom instalacije zakrpe. Napadač je bio prebrz, vješto iskoristivši "sofisticirane hakerske alate" dočepao se dragocjenih osobnih podataka. Zbirka je između ostalog sadržavala brojeve socijalnog osiguranja i bankovne račune. Za sada nema potvrde da su ukradeni podaci zloupotrijebljeni, ali je GTA poslala 180.000 pisama oštećenim građanima, dok za ostale nedostaju podaci o trenutnim adresama.

Ovo je već drugi značajan gubitak osobnih podataka koji je pretrpila GTA. U travnju 2005. na kućnom računalu jednog zaposlenika pronađeni su podaci o zdravstvenom osiguranju 450.000 osoba. Nakon tog incidenta GTA je primijenila strože mjere sigurnosti, poput kvalitetnijih zaporki, ažurnijeg pregleda logova, detaljne provjere zaposlenika i strože provjere prava pristupa podacima. No očigledno je da sve te mjere nisu bilu dovoljne. GTA je zatražila vanjsku istragu i reviziju, kako bi ponovo popravili sigurnost.

Zanimljivo je da je provala izvršena zahvaljujući propustu u neimenovanom softveru koji bi sustav trebao zaštiti od napada. Uobičajeno je shvaćanje da su sigurnosni programi pouzdaniji od ostalih, "običnih" programa. No proizvođači su prisiljeni vrlo brzo izdavati nove verzije, kako bi na vrijeme odgovorili novim prijetnjama. Na taj im je način otežana kontrola kvalitete. Sigurnosni stručnjaci ističu kako i ovaj najnoviji primjer pokazuje koliko je opasno vezati se za proizvode jednog proizvođača. Navode primjer crva Witty, koji je prije dvije godine iskorištavao grešku u IDS-u BlackICE, tvrtke ISS.

I ovaj primjer pokazuje koliko je teško zaštiti povjerljive podatke od kriminalaca koji ih se žele dočepati. Čini se da je napadač strpljivo pripremao napad i izveo ga brzo i precizno čim se ukazala prilika.

Zaštitu osobnih podataka treba ozbiljno shvatiti. Zakon o zaštiti osobnih podataka i Uredba o načinu pohranjivanja posebnim mjerama zaštite posebnih kategorija osobnih podataka, o kojima smo pisali na ovim stranicama, odnose se i na sveučilišne ustanove, koje su obavezne zaštiti te podatke. Pobrinite se za to, kako ne biste bili laka meta.