CI Games i wystawianie się w ESPI na strzał

KOMISJA NADZORU FINANSOWEGO Raport bieżący nr 2 / 2015 Data sporządzenia: 2015-01-21 Skrócona nazwa emitenta CI GAMES S.A. Temat Nowy operator systemu ESPI. Podstawa prawna Inne uregulowania Treść raportu: Zarząd CI Games S. A. z siedzibą w Warszawie informuje, iż nowym operatorem Elektronicznego Systemu Przekazywania Informacji został Pan Adam Pieniacki. Operatorami systemu pozostają nadal Pani Dasza Gadomska i Pan Jerzy Litwiniuk. Podstawa prawna: § 3 ust. 2 Rozporządzenia Ministra Finansów z dnia 13 lutego 2006 r. w sprawie środków i warunków technicznych służących do przekazywania niektórych informacji przez podmioty nadzorowane przez Komisję Papierów Wartościowych i Giełd oraz § 16 pkt. 5 Regulaminu Korzystania z Elektronicznego Systemu Przekazywania Informacji (ESPI).

Od razu łapiemy się za Regulamin Korzystania z ESPI oraz Rozporządzenie w sprawie środków technicznych, bo bez nich nie damy rady...

Zacznijmy od rozporządzenia, bo w hierarchii stoi wyżej:

§ 3 ust. 2 - "Czynności związane z przekazaniem informacji wykonują upoważnieni pracownicy podmiotu nadzorowanego, zwani dalej „operatorami”. O udzieleniu upoważnienia podmiot nadzorowany zawiadamia uprawnionych odbiorców tych informacji."

czyli mówiąc po polsku: publikować przez ESPI mogą pracownicy spółki giełdowej, którzy zostaną wytypowani do tego zaszczytu i namaszczeni przez swój zarząd. O namaszczeniu takiego delikwenta przez zarząd należy powiadomić KNF, a ten udzieli mu dostępu.


Czyli nie ma tu obowiązku przekazywania do wiadomości publicznej imion i nazwisk tych niewinnych ludzi, którzy są operatorami ESPI. Jeśli błąd tkwi w rozumieniu stwierdzenia o "zawiadamianiu uprawnionych odbiorców" wyjaśnię, że w ust. 5 tego samego paragrafu niesie informację, że
"treść przekazywanej informacji powinna być potwierdzona przez odbiorcę. Potwierdzenie powinno zawierać co najmniej datę i godzinę odbioru, identyfikator operatora oraz pieczęć elektroniczną SHA-1, wyliczaną zgodnie ze standardem FIPS-180-1."

Każdy operator zna potwierdzenie zwrotne z ESPI, które otrzymuje po publikacji raportu. I to jest właśnie to potwierdzenie od odbiorcy. Nie otrzymujemy przecież potwierdzenia od każdego inwestora, który przeczytał raport bieżący. Na szczęście!


No to teraz pomaszerujmy do Regulaminu ESPI, też jest fajny... Tu mamy taki zapis:

§ 16 pkt. 5 - "Uczestnicy systemu zobowiązani są do: (...)
5. przekazania do Urzędu Komisji imienia i nazwiska operatora Systemu (ESPI - przyp Uzo) oraz aktualizacji tych danych niezwłocznie po każdej zmianie."

Zwracam uwagę na wyraźne wskazanie komu należy przekazać imię i nazwisko operatora. Nie agencji informacyjnej, nie do wiadomości publicznej... ta informacja należy się tylko KNF. I robimy to na formularzach zwanych poetycko Wnioskami o przydzielenie dostępu do ESPI.

Znów nie ma tu wskazania, by publicznie piętnować biednych operatorów. Ich odpowiedzialność jest i tak spora, zwłaszcza, że sam KNF nie bardzo stara się o bezpieczeństwo administrowanego systemu.


Wiele osób pewnie nie wie, ale przez wiele, wiele, wiele lat każdy nowy operator ESPI otrzymując dostęp do systemu dostawał standardowe hasło, każdy takie samo. Dopiero niedawno, ledwie parę lat temu zmieniono tę zabawną zasadę i przyznaje się inne hasła, ale również wg jakiegoś ustalonego odgórnie schematu, który ktoś niedługo pewnie rozgryzie. Oczywiście zawsze pada sakramentalne "Proszę zmienić hasło", ale wiele osób zmienia hasło po paru latach, albo wcale.

Co więcej, loginy do systemu ESPI konstruowane były od wielu lat wg tego samego schematu:

ESS(4 litery z nazwy firmy)(3 litery z nazwiska operatora)

Nadal się je tak konstruuje? Do 2011 było tak na pewno. Znając więc nazwę debiutanta, imię, nazwisko operatora i wiedząc, jakie hasła do ESPI dawano na start, można było w tamtych czasach, a 2011 rok to nie są zamierzchłe czasy, próbować zalogować się do ESPI na konto jakiejś biednej spółki giełdowej. Jeśli operator hasła nie zmienił, sukces gwarantowany.

Na dobitkę tylko wspomnę o czasie i formalnościach, jakie spółka musi odczekać, by usunąć komuś uprawnienia operatora ESPI. To powinno trwać 5 minut i zostać załatwione w trakcie rozmowy telefonicznej, a trwa kilka dni, jeśli dobrze pójdzie. W tym czasie wywalony dyscyplinarnie operator może wszystko. Czy w 2014 coś się zmieniło?


Swoją drogą... ciekawe, czy słynny przypadek raportu firmy CERABUD (raport dostępny w Przebojach ESPI), który chyba do dziś nie został opinii publicznej wyjaśniony, nie wynikał z tych właśnie niedociągnięć systemu. Pewnie tak, bo cisza... aż w uszach dzwoni...

Pojawił się tylko komunikat spółki:

"Zarząd Spółki informuje że komunikat ESPI Nr 13/2012 powstał w wyniku nieautoryzowanego wejścia do systemu osób trzecich. O zaistniałej sytuacji została poinformowana Komisja Nadzoru Finansowego. W dniu dzisiejszym Zarząd Spółki złoży doniesienie do organów ścigania z zawiadomieniem o włamaniu do systemu.

Z pierwszych informacji uzyskanych z KNF (rozmowa telefoniczna) czyli administratora systemu wynika że, z systemem połączyła się nieznana osoba, korzystająca z hasła i loginu Prezesa Spółki, połączenie internetowe odbyło się poprzez bramkę Orange z tzw. dynamicznym adresem IP, połączenie nastąpiło z okolic miasta Skierniewice.

Zarząd Spółki zapewnia że podejmie zdecydowane działania zmierzające do wyjaśnienia zaistniałej sytuacji i wykrycia autora komunikatu."

 
Czyli podsumowując.... publikowanie danych osobowych operatorów ESPI to tylko proszenie o kłopoty. Stop. Nie trzeba. A jeśli ktoś kiedyś tego zażąda, my zażądamy lepszego systemu ESPI.

Howgh!


----
P.S.
22.01.2015
A to tak, żeby było jeszcze śmieszniej: Doktryna cyberbezpieczeństwa.