处理小企业和安全问题

信息安全 职业教育 商业风险
2021-09-09 05:33:23

我正在与一家小企业打交道,我现在别无选择,只能打交道。我不为这项业务工作,但我的个人生活决定了我现在使用它们。几个月前我注意到他们有一个无线网络设置,带有 WEP 加密(和一个非常弱的密钥......不要问),没有 MAC 过滤器并且管理端口是开放的(HTTP 也是如此)。

我提请负责人注意,并向她解释说他们需要更改设置。有人告诉我,他们将 IT 外包给另一家当地公司(很可能只是住在附近的另一个人)。

我写了一些建议以使其更安全,与他们使用的 60 美元 Linksys 路由器一样好。

我注意到前几天(几个月后)它仍然没有改变。我问她这件事,她说 IT 人员说一切都很好,就像它的设置方式一样。

我再次向她解释,这不好。

现在,这个地方没有我的信用卡或类似的文件,但他们确实有我和我的家人以及其他家人的所有个人信息。

关于如何处理这个问题的任何建议?除了找到另一个现在不可能的业务之外。

2个回答

无论企业规模如何,根据我的经验,让提供商继续前进的唯一三种方法是:

  • 财务:告诉他们你会把你的生意带到别处——我知道这在这儿是不可能的。
  • 监管:如果他们处理个人信息,他们必须在大多数司法管辖区提供适当的保护(例如英国的 DPA - 因此 ICO 审查的威胁可能会奏效)
  • 声誉:这不符合大多数人认为的良好做法。您不想将它们推荐给您的朋友和联系人吗?披露的威胁使其成为对他们的经济激励——他们有失去业务的风险。

现在让他们以书面形式同意他们对您的个人数据通过不合格的无线控制被黑客/复制/篡改承担全部责任:-)

同情业务并找出他们的 IT 人员是谁。然后走“负责任的披露”路线。告诉 IT 人员,如果他们不尽快解决问题,您将公开披露他们的松懈做法(可能不会披露业务本身)。

其它你可能感兴趣的问题
上一篇RFC 3161(X.509 PKI 时间戳协议)的地理等价物 下一篇这个编码的 Argon2 哈希的哪一部分是盐?