11. svibnja ove godine, nakon provale na računalo s podacima o 9600 studenata, Sveučilište Stanford bilo je prisiljeno ispričati se radi gubitka osjetljivih informacija.

Radi se o računalu Career Development Centra, koji olakšava zapošljavanje studenata, omogućujući tvrtkama da pronađu kadrove koji su im potrebni. U skladu sa sigurnosnim politikom, sveučilište je odmah nakon otkrivanja provale računala isključilo s mreže te obavijestilo lokalni ured FBI-a koji je pokrenuo istragu. Zasad nema traga provalniku. Također je nejasno je li on iskopirao podatke iz baze koja, uz ostale podatke, sadrži imena i brojeve socijalnog osiguranja. U bazi nisu bili brojevi kreditnih kartica studenata, no među podacima o tvrtkama koje su koristile uslugu centra bila su imena i brojevi računa.

Incident u Stanfordu samo je jedan od nekoliko slučajeva gubljenja povjerljivih podataka u američkom sveučilišnom i istraživačkom okruženju, a o kojima su u zadnje vrijeme izvještavali američki mediji. U ožujku ove godine kalifornijsko je sveučilište Berkeley obavijestilo 98.000 studenata o krađi notebooka koji je sadržavao imena, brojeve socijalnog osiguranja i druge povjerljive podatke. U listopadu 2004. crackeri su se dočepali podataka o 1,4 milijuna osoba, stanovnika Kalifornije, koji su korišteni u sklopu istraživanja o osobama kojima je potrebna kućna pomoć.

U rujnu prošle godine tehničar koji je popravljao prijenosno računalo Kalifornijskog državnog sveučilišta zamijenio je disk. Kasnije se ustanovilo da je disk sadržavao povjerljive podatke od 23.000 studenata i zaposlenika. Pretpostavlja se da je tehničar stari disk bacio.

Možemo li nešto naučiti iz ovih primjera? Iako u nas nema izvješća o sličnim incidentima, pogotovo ne u medijima, postoje indicije da se nekoliko takvih incidenata prešutjelo.

Svuda u svijetu sveučilišta drže kako im nije potrebna stroga sigurnosna politika i skupa zaštita. No kada su u pitanju povjerljive informacije zapravo nemaju izbora. Zakon obavezuje svakoga da na isti način zaštiti osobne podatke. Svejedno je radi li se o fakultetu, istraživačkom institutu, banci ili nekoj vladinoj službi, povjerljivi podaci moraju se štititi.

CARNetove članice neka promisle o tome sadrže li njihova računala povjerljive podatke. Takva se računala neizbježno moraju maksimalno zaštiti; od fizičke razine, gdje se brani pristup u prostorije neovlaštenim osobama, do mrežne zaštite, poput lista pristupa, vatrozida itd., softverske zaštite na razini pojedinog računala, do zaštite na aplikacijskoj razini, gdje se određuje koji korisnici smiju mijenjati podatke, a koji im pristupati.

Sigurnosna politika ustanove mora jasno zahtijevati da povjerljivi podaci na prenosivim računalima budu kriptirani. Tako će nepozvanima ostati sakriveni kada se računalo izgubi ili ga ukradu.

I još ovo: mediji pohrane koji sadrže povjerljive podatke moraju se po prestanku korištenja uništavati po propisanoj proceduri, tako da se iz njih više ne može iščitati podatke. Bacanje papira, CD-ova i diskova u kontejnere za smeće svakako ne pridonosi zaštiti podataka. Jedna od najjednostavnjih metoda prikupljanja informacija je "dumpster diving", prekopavanje po kantama s otpacima.

Linkovi na vezane sadržaje:

Stanford