Tässä kun olen näitä älypään-hakkerointi juttuja yms. seuraillut, niin on alkanut mietityttämään, että jos yritys tekee asiakaalleen esim. CMS-sovelluksen, niin kuinka pitkälti sen tietoturva on yrityksen vastuulla? Tarkoitan sitä, että jos yritys on hoitanut syötteiden tarkistukset, hashannyt salasanat jne... niin voidaanko yritystä pitää tietomurron tapahtuessa korvausvelvollisena, vai meneekö se suoraan poliisitutkintaan? Suomen laista löytyy todennäköisesti asiasta jokin määritelmä, kunhan vielä osaisi etsiä oikeilla sanoilla.
Triton kirjoitti:
niin voidaanko yritystä pitää tietomurron tapahtuessa korvausvelvollisena, vai meneekö se suoraan poliisitutkintaan?
En pysty hahmottamaan miten nämä olisi toisensa poissulkevia asioita.
Luvaton tietomurto on aina rikollinen teko, ja poliisitutkinta aiheellinen, oli tietoturva miten leväperäisesti tahansa toteutettu. Suomessa on tuomittu jopa ihan pelkkä porttiskannaus tietomurron yrityksenä.
Se, kuka mahdollisesti on huonosti toteutetusta järjestelmästä korvausvelvollinen, ja kenelle, on sitten huomattavasti vaikeampi kysymys.
Hieman näytti olevan typerästi muotoiltu tuo lause... Jokatapuksessa tarkoitin sitä, että jos yritys olisi hoitanut homman kunnolla tai ainakin pyrkinyt hyvään tietoturvaan, niin voidaanko tätä yritystä vastaan nostaa kanne, vai onko pelkästään murrontekijä vastuussa?
Ko. listaa en ole nähnyt, mutta sen mukaan mitä tajusin niin ilmeisesti siinä oli salasanat ihan selkokielisinä. Sinänsä typerää ylipäätään tietokantaan edes tallentaa salasanat sellaisessa muodossa, kun tavallaan sillä jo kerjää tietomurtautujia/mitä liekään. Monesti musta tuntuu vähän siltä, että nämä niinkutsutut ammattilais-nettisivujentekijät eivät aina tiedä asioista edes hölkäsen pöläystä. (Tuskin ihan liittyy asiaan, mutta hyvänä esimerkkinä saattais sopia täällä lukiossa oleva "ohjelmoinnin opettaja". Tekee virheitä sen kun ehtii :))
Tulee mieleen vaan kanssa tuo Jutta Urpilais ja kuka-se-toinen-olikaan nettisivusotkemiset jotka oli tässä ihan hetki sitten, se ilmeisesti tapahtui SQL-injektioilla :P
Miten suojaamattomat salasanat kerjäävät krakkereita? Mistä ne tietäisi etukäteen, ettei niitä ole suojattu?
Silti sinänsä huvittavaa, että jonkin sortin pienehköllä järjestelmän päivittämisellä selkokieliset salasanat olisi saatu helposti muutettua hasheiksi ilman, että käyttäjien olisi pitänyt syöttää niitä uudelleen tai että he olisivat edes huomanneet mitään muutosta.
Ei välttämättä ketään kiinnosta koskea niihin koodinkikkareisiin mitä joku firman jo mahdollisesti jättänyt harrastelijakoodaaja on joskus 10 vuotta sitten väsännyt.
Triton kirjoitti:
Hieman näytti olevan typerästi muotoiltu tuo lause... Jokatapuksessa tarkoitin sitä, että jos yritys olisi hoitanut homman kunnolla tai ainakin pyrkinyt hyvään tietoturvaan, niin voidaanko tätä yritystä vastaan nostaa kanne, vai onko pelkästään murrontekijä vastuussa?
Alkaako syyttäjä tutkimaan koodia?
Itse asiassa koodintekijän vastuu riippuu vähän siittä mitä siinä koodaus sopimuksessa lukee. Asiakashan sen viime kädessä päättää mitä ohjelman on tehtävä.
Jos asiakas ei ole halunnut tietoturvallista järjestelmää niin miten se voisi olla koodin toteuttajan vastuulla? Asiakkaallehan on toimitettu mitä asiakas on tilannut. Siksihän niitä neuvotteluja on tapana käydä ennen toteutusta, jotta saadaan tilauksen yksityiskohdat hiottua kohdalleen.
Aihe on jo aika vanha, joten et voi enää vastata siihen.