Narušení bezpečnosti dat (angl. data breach) je zkrátka bezpečnostní incident, při kterém útočníci prolomí bezpečnostní opatření a získají tak neoprávněný přístup k datům. Může se jednat např. o údaje o jednotlivcích (jména, data narození, platební informace, čísla sociálního pojištění a řidičských průkazů a další). Ty jsou totiž často uloženy v nesčetných kopiích na řadě serverů soukromých společností, veřejných institucí nebo na cloudových úložištích. Pokud se k takovým datům dostane někdo, kdo k nim nemá oprávnění, může vzniknout řada fatálních důsledků jak pro dotyčného, tak pro danou organizaci, která údaje uložila a měla je udržovat v bezpečí.
Osobní údaje jsou velmi cenné pro řadu typů pachatelů, což hackery motivuje k prolomení zabezpečení a hledání osobních údajů kde to jen jde. Na druhé straně, společnosti a vládní organizace které údaje uchovávají je často dostatečně nechrání. V některých jurisdikcích se proto legislativa snaží potírat příliš laxní bezpečnostní postupy, které mohou vést k právě narušení bezpečnosti údajů.
Drobná poznámka k terminologii: někdy se rozlišuje mezi narušením bezpečnosti dat (hackerský útok) a únikem dat – situace, kdy daná organizace např. omylem umístí citlivé údaje na webovou stránku nebo jiné místo bez řádných (nebo žádných) bezpečnostních kontrol, takže k nim má volný přístup kdokoli kdo ví, že tam jsou. Hranici mezi narušením a únikem dat však nemusí být snadné stanovit a konečný výsledek je často stejný.
K úniku dat tedy dojde v případě, kdy někdo neoprávněný získá přístup k databázi informací ke které by neměl mít přístup. Širší definice může zahrnovat i banální případy. Například situaci, kdy se zaměstnanec knihovny tajně podívá jaké knihy si vypůjčil jeho kamarád, ačkoliv k k tomu nemá žádný legitimní pracovní důvod. Většina lidí by takové jednání nepovažovala za příliš problematické. Je ale pravdou, že některé případy narušení bezpečnosti dat jsou způsobeny právě zevnitř – to znamená, že zaměstnanci disponující v rámci své pracovní pozice přístupem k osobním údajům mohou tyto údaje zcizit za účelem finančního zisku nebo pro jiné nezákonné účely.
V jiných případech však k narušení bezpečnosti dat dochází podle stejného vzorce jako u jiných kybernetických útoků vedených osobami zvenčí, kdy hackeři prolomí ochranné kybernetické prvky a podaří se jim získat přístup k citlivým datům své oběti.
Krádež zevnitř: Osoby uvnitř společnosti mohou být kompromitovány útočníky a donuceny ke krádeži dat, mohou mít vlastní osobní spory se zaměstnavatelem nebo mohou jednoduše chtít rychle vydělat peníze.
Neoprávněný přístup: Situace, v rámci které si většina z nás představí hackera jak krade osobní údaje. Útočníkem musí být zkušený kyberzločinec, který obchází firewally a další obranné systémy nebo využívá např. zero-days k přístupu do databází plných čísel kreditních karet či zdravotních údajů. Útočníci mohou používat také techniky jako je phishing, spyware apod. Specializovaná verze tohoto typu útoku může zahrnovat také fyzickou krádež hardwaru, na kterém jsou uložena citlivá data – a to buď přímo z kanceláře nebo častěji od jednotlivců, kteří si berou notebooky domů a špatně je zabezpečují.
Krádež při transferu dat: V situacích, kdy jsou přesouvány velké objemy dat, je třeba dbát zvýšené opatrnosti, protože osobní údaje přenášené v otevřených sítích bez řádného šifrování jsou obzvláště zranitelné.
Náhodné odhalení: Jedná se o scénář úniku dat, o kterém jsme hovořili výše. Je překvapivě běžné, že se citlivé databáze dostanou na místa, kde by být neměly – například se zkopírují, aby sloužily jako vzorová data pro účely vývoje a nahrají se následně na různé veřejně přístupné webové stránky. Útočníci přitom mají k dispozici automatizované nástroje, které prohledávají internet a hledají charakteristické znaky osobních údajů, čímž si vybírají své cíle. Pak jsou tu např. organizace, které nahrají citlivá data do cloudové služby, ale špatně nastaví přístupová oprávnění.
Pro organizace, které chtějí zabránit škodám způsobeným únikem dat stojí za to zvážit, co mají tyto výše uvedené scénáře společného. Většina společností se pravděpodobně domnívá, že jejich zabezpečení a postupy jsou dostatečně dobré na to, aby nedošlo k narušení jejich sítí nebo náhodnému odhalení dat. Řada z nich má v tomto ohledu pravdu, ale mnohem větší počet z nich se mýlí. Veškeré osobní údaje by měly být vždy chráněny dalšími ochrannými prvky. Například výrazně zúžit přístup k příslušným databázím, snížit tak síťovou aktivitu a průběžně ji monitorovat. S uloženými hesly je třeba zacházet obzvlášť opatrně a nejlépe je šifrovat (což často nedělají ani společnosti, které by to měly vědět nejlépe).
Organizace CSO sestavila seznam největších narušení dat v tomto století s podrobnými informacemi o příčinách a dopadech jednotlivých narušení. Patří mezi ně nejen velké hackerské útoky způsobené Čínou, ale také situace kdy unikly informace ze stovek milionů účtů ze společností jako jsou Yahoo, Adobe, LinkedIn či MyFitnessPal. A co hůř, některé společnosti se na seznamu objevují dokonce vícekrát.
Zde je stručná časová osa nejvýznamnějších úniků dat a informací:
2012
2013
2014
2015
2018
2019
2020
2021
Poskytovatel bezpečnostního softwaru Varonis sestavil obsáhlý seznam zajímavých statistik. Zde jsou některé co stojí za zmínku:
V některých ohledech může být myšlenka že vám byly při narušení bezpečnosti odcizeny osobní údaje poměrně abstraktní a lidé si často mylně myslí, že se jich nic podobného netýká. Pravdou je, že zločinci toho mohou s vašimi osobními údaji udělat až nebezpečně moc. Ukradené osobní údaje jsou totiž základním stavebním kamenem pro následnou krádež identity. I částečný soubor informací o vás lze přetavit ve vydání nové kreditní karty nebo založení falešných účtů, které vás budou pronásledovat vaším vlastím jménem. Pokud bylo v ukradených údajích vaše heslo (a pokud jste nedej bože typ člověka co používá stejné heslo k více účtům), mohou hackeři v krajních případech rovnou vysát váš bankovní účet.
Každá organizace by měla mít podrobný plán určující jak se vypořádat s únikem – zejména způsob sestavení krizové pracovní skupiny, vydání všech příslušných oznámení vyžadovaných zákonem a nalezení a odstranění hlavní příčiny.
Jste-li fyzická osoba, jejíž údaje byly při narušení bezpečnosti odcizeny, měla by vaše první myšlenka směřovat k heslům. Pokud účet jež byl narušen má totožné heslo s dalšími vašimi účty, měli byste je co nejdříve změnit, zejména pokud se jedná o účty finančních institucí apod. Vhodná aplikace správce hesel vám pomůže nejen zvolit různě silná hesla pro různé webové stránky či uživatelské účty, ale také obsahuje funkce pro zjišťování údajů o tom, že je některý z vašich účtů spojen se zveřejněným únikem dat.
Rozsáhlý únik dat může samozřejmě významně poškodit pověst dané společnosti a otrávit vztahy se zákazníky, zejména pokud podrobnosti o narušení odhalí obzvláště hrubé zanedbání bezpečnostních opatření. S úniky dat jsou pak spojeny také přímé finanční náklady. V roce 2020 činily průměrné náklady na rozsáhlý únik dat téměř 4 miliony dolarů. Velká část těchto nákladů jde na vrub právních předpisů o ochraně osobních údajů, které musí společnosti dodržovat. Pokud jejich nedbalost vede k narušení bezpečnosti dat, nejde jen o související pokuty, ale také o náklady na administraci a informování všech jednotlivců jejichž data unikly.
V různých jurisdikcích existuje řada předpisů určujících jak musí společnosti reagovat na narušení bezpečnosti informací. V USA je důležitý zákon HIPAA jehož působnost je omezena na údaje týkající se zdraví. V rámci EU je pak stěžejní nařízení GDPR, které vyžaduje aby všichni uživatelé, jejichž údaje byly porušeny, byli informováni do 72 hodin od zjištění této skutečnosti. Společnostem které tak neučiní může být uložena pokuta až do výše 4 % ročních příjmů. Řešení takových situací bývá ale zpravidla poměrně složité a související důsledky závisí na tom, zda je daná firma schopna prokázat, že v dobré víře vynaložila maximální úsilí na zavedení řádných bezpečnostních kontrol.
Michael Fanta, Filip Blaha, redakce Cyberblog
Foto: Unsplash
Zdroj informací: www.csoonline.com
Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.
Užitečné kvantové počítače zatím nejsou realitou. Společnost Apple však v jednom z největších nasazení postkvantového šifrování přináší tuto technologii do iMessage.
Bankovní trojský kůň Anatsa se zaměřuje na uživatele v Evropě a infikuje zařízení se systémem Android prostřednictvím malwarových dropperů umístěných na Google Play.
S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.
Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.
Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.
Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.
Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.
0 Comments