Kratak tvit niz o bezbednosnom propustu. Iz niza:
"Ispostavilo se da je u pitanju kompletan file storage web aplikacije PKS-a na kome se nalaze veoma osetljivi podaci velikog broja građana Srbije, koji su aplikaciju koristili. Sve dostuno svima na izvolte, bez ikakve autentifikacije i autorizacije. Neoprostiva greška u razvoju."
Zapanjujuće lepa priča! Od građanina koji je ovo prijavio do celog lanca koji je neverovatno brzo odreagovao. Ono što često pričam u firmi kada bude problema u produkciji - "grešaka i bugova je uvek bilo i uvek će ih biti, to je sve normalno i deo posla. Bitno je kako se postavimo kada saznamo za njih!".
Digresija mala - da li se zna koja firma je radila aplikaciju za PKS (eUprava ili neko drugi) i da li po ugovorima iko može pravno da odgovara ovde? Ono što mene malo nervira je što je cela naša industrija još od 80-tih izgrađena na kaubojštinskim "as-is" ugovorima gde niko nije odgovoran ni za šta (za razliku od drugih industrija gde postoji koncept odgovornih lica) jer zakona nije bilo i danas smo tu gde jesmo gde svako može da radi šta hoće (čak ni ne ulazim u komplikovane slučajeve kao društvene mreže i njihov uticaj na psihu ili na društvo, nego npr. najveći data breach prošle godine - SolarWinds gde niko nije odgovarao niti se smatra odgovornim, ispravite me ako grešim). Da li se kod nas vodi računa o ovome i da li neko zna, koliki procenat ugovora se posvećuje bezbednosti i sigurnosti podataka (što ugovora između dve državne firme, što između države i privatne firme izvođača)? Šta da sad npr. procuri baza svih godišnjih poreza i koliko ko zarađuje ili npr. ko je vakcinisan i kojom vakcinom - ko onda odgovara kome? Kontam da će ovakvih stvari biti sve više i više, samo da se ne ponovi opet neka "JKP Informatika":)