Historien om attacken mot det smartcard-baserade betalsystemet PayExpress på kopieringsfirman som jag skrivit om tidigare rullar vidare.
FedEx som äger kedjan Kinko’s har uttalat sig, och deras respons pÃ¥ attacken är ett typiskt exempel pÃ¥ hur företag inte bör reagera.
Först förnekade FedEx det kunde finnas ett problem över huvud taget och att attacken som publicerats av Strom Carlson inte skulle kunna fungera på FedEx maskiner. Efter att ha sett den film som visar en genomförd attack mot FedEx maskiner säger man nu att attacken inte hotar sina kunder. Slutligen överväger FedEx att rikta åtal mot Carlson för att han publicerat information om säkerhetsbristen i FedEx system.
FedEx använder alltså inte bara ett system där säkerheten bryter samman fullständigt om ett kort knäcks. Vidare tror man inte att det kan finnas säkerhetsproblem i de IT-system man använder, och när man blir överbevisad funderar man på om inte det bästa är att skjuta budbäraren. Nästan rekord i antalet fel man kan göra på en gång. Det enda FedEx har rätt om är att det inte hotar deras kunder, men det visar snarare att man inte förstår innebörden av attacken och istället PR-reagerar än kopplar in hjärnan.
Man skulle kunna inbilla sig att ett företag som FedEx som transporterar gods och erbjuder fantastiskt bra service i form av spårbarhet och säker leverans av detta gods borde genomsyras av säkerhetstänkande och inte minst förmågan att utvärdera risker och konsekvenser. Men tydligen sträcker sig inte den kompetensen över till IT-system.
Företaget EnTrac som utvecklat systemet åt FedEx har för övrigt inte reagerat alls. Inte ett uttalande till en tidning, ingen kommentar på sin webbplats. Som om inget har hänt. Inte heller ett speciellt bra sätt att hantera problem på.
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
