Läste den här tråden av en slump och registrerade precis ett konto enbart pga detta. Jobbar som IT Manager på ett medelstort företag.
Citatet ovan stämmer nog inte helt med verkligheten. Kanske brister rutinerna ibland?
Vi handlar ofta av er som företagskund. Jag beställde två artiklar till ett nytt lokalkontor i Stockholm så sent som förra veckan. Det skedde ingen motringning i det fallet (har inte skett ännu åtminstone), även om jag angav en helt ny leveransadress (med ordinarie fakturaadress). Jag vet i ärlighetens namn inte om varorna levererats ännu, men vi har i vilket fall som helst fått fakturan. Skall kolla upp om varorna anlänt imorgon.
Lösenordslagring i klartext är illa. Jag är högst medveten om problematiken med kontouppgifter vid ett systemskifte och förstår att det inte kommer att lagras på annat vis innan skiftet är genomfört. Risken för att bli "hackad" är inte heller alltid så stor som många tycks tro, särskilt när det gäller interna system. MEN... att er supportpersonal har tillgång till kundernas inloggningsuppgifter i klartext är ett bekymmer. Sekretessavtal eller ej, det är människor det handlar om och människor är nyfikna av naturen. Och eftersom det bland folk i allmänhet är oerhört vanligt att man använder samma mailadress och lösenord till flertalet tjänster är det en stor brist.
Lyckligtvis bör det inte kräva ett byte av affärssystem för att ändra på den lilla detaljen. Det torde inte kräva en särskilt stor förändring av ert befintliga system (egenutvecklat, läste jag det någonstans i tråden?) att stänga den egna personalens tillgång till lösenorden åtminstone. Och det bör inte vara något som kan ställa till problem i det befintliga systemet.
Och till alla er som gastar om folk i gemen inte är säkerhetsmedvetna - nej, jag anser inte att folk får "skylla sig själva" eller liknande. Jobbar man inte med IT och säkerhet så kan man inte avkrävas ett säkerhetsmedvetet IT-beteende. Lika lite som man får "skylla sig själv" om man drabbas av en sjukdom som kunnat undvikas om man var medveten om dess smittorisk och spridningsvägar. Släpp det. Det är vår uppgift som arbetar med teknisk IT att tillhandahålla säkerhet och användarvänlighet och gör vi inte det har vi misslyckats.
Jaja, som sagt, att stänga dustinpersonalens möjlighet att se kundernas lösenordsuppgifter bör vara en relativt smal sak och kräver inte att man byter affärssystem. Men det nu aktuella medialjuset på Dustin är det en förändring som borde göras omgående, om inte annat så för att kunna gå ut med att man arbetar på att lösa problemet och minska riskerna. Det är inte en god strategi att sticka huvudet i sanden eller hänvisa till ett nytt system som kan komma att lanseras nästa år.