Paypal e la sicurezza dei dati dopo Epsilon. Parla Michael Barrett

In una intervista Michael Barrett, responsabile della sicurezza delle informazioni del sistema di pagamento online PayPal,ha dato il suo parere su alcuni fatti di attualità nel mondo della sicurezza.

Secondo Barrett Paypal non è stata mai sotto attacco diretto di organizzazioni dedite al furto di dati personali come Epsilon, non ci sono rischi comunque per i suoi utenti. Anche per quanto riguarda la sicurezza, messa a dura prova, di RSA, essendo la sicurezza Paypal multistrato e indipendenti uno dall’altro stanno facendo dei controlli ma niente di più pericoloso.

Per quanto riguarda la divulgazione di certificati digitali falsi, per Barret questo è un sintomo di debolezza da parte di BCA Business Certificate Authority. Secondo Paypal la CA si è calata nel mondo del business a scapito della sua sicurezza, per attivare maggiori vendite non ha badato a creare modelli di sicurezza validi.

E’ un tema ormai quotidiano che i dati delle aziende, in Italia poi, solamente quelle molto grandi lo fanno, vadano trattati da terzi non colelgati all’azienda a cui un utente da i propri dati.
Facciamo un esempio: Se io mi iscrivo a Repubblica i miei dati personali non saranno trattati solo da Repubblica stessa ma da aziende ad essa collegate che lavora i dati per loro. E’ un modello di lavorazione che può abbattere i costi e servire a centralizzare la gestione, ma sicuramente fa girare i nostri dati sensibili aumentando i rischi. E questo è scritto nero su bianco, basta guarda e leggere le normative della privacy dei grandi gruppi.

Per Barret vale il discorso che: “La gente dice “non può succedere a me.” Ma i criminali sono in rete. Tutte le società che elaborano dati devono trattare i controlli con il livello appropriato di serietà. Stiamo assistendo ad un cambiamento nella coscienza nelle aziende. Noi facciamo uso fornitori esterni. Non usiamo Epsilon, tra l’altro. Devo dire che. Una delle cose che facciamo è che eseguiamo controlli sui fornitori per quanto più possibile per assicurarci che i fornitori siano sicuri. Prima di dare a qualsiasi fornitore  una e-mail il, nome, cognome e indirizzo è necessario assicurarsi che siano eseguiti i best practice del settore. E alcune imprese sono migliori di altre.

Barrett continua anche sul lato Mobile della sicurezza: “Dal punto di vista della sicurezza, le piattaforme mobili sono affascinanti perché hanno un minor numero di attacchi in corso. D’altra parte ci sono tutti i tipi di possibilità per gli attacchi che non si sono ancora materializzate. Quindi è uno spazio molto interessante. Per esempio, non ci sono molti attacchi sugli iPhone non-jailbroken quindi tendono a essere abbastanza sicuri. Android è una piattaforma probabilmente un po ‘meno sicura e ci sono stati più attacchi contro di essa. E’ che ‘semplicemente è più aperto e Google non controlla le applicazioni che sono disponibili come fa Apple. Google ha adottato un approccio più aperto e penso che sia una questione filosofica. Non sto criticando Google e lodando Apple. Un approccio porta a un ecosistema più aperto ma potenzialmente uno dove c’è più rischio. Non si può guardare solo le caratteristiche di sicurezza, devi guardare lo stato di salute degli ecosistemi, come quello che applicazioni disponibili e ad altre cose. Personalmente, mi piace il BlackBerry.”

Il responsabile sicurezza Paypal passa poi a parlare del Phishing: ” Sono entrato PayPal quasi cinque anni fa ed è giusto dire che la società non aveva capito a quel punto il vero significato di phishing. Ma da allora abbiamo messo in atto una serie di difese. Probabilmente non andrà mai via del tutto come problema, ma può essere sostanzialmente ridotto al minimo. Siamo al numero 8 in un elenco di molti siti di phishing, sempre meglio che essere n ° 1. Io non sono soddisfatto di essere il n ° 8 e mi piacerebbe molto  cancellare il reato del tutto, ma mi rendo conto che saranno necessari altri cinque anni per arrivare a quello stato. Alcuni anni fa abbiamo usato la firma digitale in uscita per tutte le nostre e-mail e abbiamo lavorato con Yahoo e Google, percui se avessero visto e-mail apparentemente da noi, ma senza firma  l’avrebbero isolate. Questo è stato un sorprendente successo. Ora stiamo cercando di portare l’intera industria a prendere quel tipo di approccio. Ma ci vorranno ancora parecchi anni per spingere tutto il  settore a farlo.”

Le utlime battute di Barrett sono sula regolamentazione:  “Crediamo che ora stiamo entrando in un periodo in cui aumentare la regolamentazione di Internet è probabilmente inevitabile, e la questione è quello che dovrebbe essere il quadro di sicurezza che portino a rendere Internet un posto più sicuro di quello che è oggi. E ‘probabile che il governo americano farà qualcosa quest’anno. Mi piacerebbe vedere un aumento dei finanziamenti per l’applicazione della legge su internet che è sorprendentemente inadeguato.”