La seguretat en el món d'internet
Les dades perdudes per sempre
Les empreses es resisteixen a assumir responsabilitats per protegir la informació sobre els seus clients
Les dades perdudes per sempre_MEDIA_2 /
Les dades perdudes de més de 77 milions d'usuaris de la PlayStation de Sony se n'han anat i ja no tornaran. Com els nens perduts del País de Mai Més del cèlebre llibre de Peter Pan; però, en aquesta ocasió, els que s'han apoderat de les dades no han estat els pirates del capità Garfi sinó els pirates informàtics.
És un robatori preocupant pel tipus de dades registrades, bàsicament noms, adreces postals i de correu electrònic, dates d'aniversari, noms d'usuari, contrasenyes i números de targetes de crèdit. Tant és així que Sony aconsella revisar regularment els moviments dels comptes bancaris, canviar el nom d'accés i la contrasenya i ser especialment cautelós quan es rebin comunicacions procedents de bancs o de la mateixa PlayStation.
Potser ja és hora que, a diferència de l'irresponsable Peter Pan, les empreses i els usuaris mateixos assumeixin responsabilitats en comptes de seduir-nos amb unes prestacions aparentment sense perill aprofitant-se del desconeixement del nou entorn de la web.
S'acusa la companyia d'haver trigat massa dies a comunicar als usuaris el robatori de les seves dades. Al principi, els seus representants van declarar que no es tenien evidències que l'intrús hagués aconseguit les dades privades dels usuaris, encara que tampoc es va descartar. ¿Es tractava d'amagar el problema o d'estar segurs de l'abast de l'atac? Des del 2002 la legislació de Califòrnia obliga a notificar com més aviat millor les pèrdues de dades, i la directiva europea de 2009/136/CE es mou en el mateix sentit.
Després de conèixer que els serveis de PlayStation Network es començarien a restablir de mica en mica, la companyia japonesa tornava a notificar que la plataforma Sony Online Entertainment també havia estat víctima d'un atac informàtic que havia aconseguit les dades de 24,6 milions de comptes actius, incloent-hi informació referent a dates de naixement o correus. L'empresa s'ha afanyat a precisar que els dos casos no estan relacionats.
¿Té potser Sony algun problema específic amb la seguretat o simplement s'ha adonat que el millor és reconèixer tan aviat com sigui possible aquesta nova fuga de dades? Encara que Sony ja ha promès compensacions als usuaris en forma de dies de subscripció gratuïta i altres fórmules, és probable que després del que ha passat nombrosos clients decideixin anul·lar els seus comptes.
Precisament això és el més greu de la situació: a més de la pèrdua de dades hi ha una pèrdua de confiança dels ciutadans respecte a la manera com companyies pioneres en les noves tecnologies gestionen la seva informació personal.
La confiança és un estat subjectiu que es nodreix de fets objectius que la fan augmentar o disminuir. És un patrimoni que es perd amb molta facilitat i que costa molt de recuperar. No hi ha dubte que la pèrdua de confiança afectarà altres iniciatives que puguin proposar empreses d'aquest i altres sectors. El comerç on line s'expandeix a la moda, al turisme, a la música. Tenir presents casos com aquest en el moment de comprar un bitllet d'avió fa més difícil atrevir-se a introduir el número de targeta de crèdit en el sistema.
Des de la perspectiva tècnica és molt probable que hagin fallat moltes mesures de seguretat i organitzatives. A més a més, un incident com aquest posa en el punt de mira la seguretat del cloud computing, un model d'aprovisionament de serveis de tecnologies de la informació i la comunicació que emmagatzema les dades i aplicacions dels usuaris a la xarxa.
Durant el primer trimestre de l'any, una altra empresa del sector va patir un incident semblant. Les dades personals de 4.000 usuaris van quedar al descobert, però a diferència de la situació actual es va comunicar el problema immediatament en un exercici de transparència.
Tant les entitats públiques com les empreses privades estan obligades a adoptar mesures de seguretat perquè les dades personals no es perdin o siguin utilitzades per tercers. No n'hi ha prou de dissenyar procediments de seguretat idonis i d'implantar-los; s'ha de verificar de manera periòdica que compleixen amb la seva funció, sobretot, com en aquest cas, quan es detecten incidents.
Si les empreses que tracten dades de caràcter personal donessin formació especifica als seus professionals i els informessin de les seves obligacions i responsabilitats es podrien detectar aquestes situacions de risc. Perquè el factor humà és un element crític en la seguretat de la informació.
Notícies relacionadesEn l'actualitat s'està plantejant un nou enfocament global de la normativa europea de protecció de dades per adequar-la a les noves tecnologies. El problema és que les organitzacions es resisteixen, com Peter Pan, a assumir responsabilitats i només hi veuen els inconvenients. Si s'haguessin adoptat els mecanismes de seguretat que hem assenyalat, recollits ja en les diferents legislacions, aquests haurien estat eficaços i s'haurien evitat perjudicis a tots els usuaris. Directora de l'Autoritat Catalana
de Protecció de Dades.