"Vše o kybernetické bezpečnosti"

CyberWiki: Co je to narušení bezpečnosti dat? Typy, reálné příklady a dopady

Víte co znamenají pojmy jako narušení bezpečnosti či únik dat? Jaké jsou typy narušení bezpečnosti nebo kam až se mohou vyšplhat náklady spojené s únikem dat? Jednoduché vysvětlení a konkrétní příklady Vám přinášíme v tomto článku.

Co je to narušení bezpečnosti či únik dat?

Narušení bezpečnosti dat (angl. data breach) je zkrátka bezpečnostní incident, při kterém útočníci prolomí bezpečnostní opatření a získají tak neoprávněný přístup k datům.  Může se jednat např. o údaje o jednotlivcích (jména, data narození, platební informace, čísla sociálního pojištění a řidičských průkazů a další). Ty jsou totiž často uloženy v nesčetných kopiích na řadě serverů soukromých společností, veřejných institucí nebo na cloudových úložištích. Pokud se k takovým datům dostane někdo, kdo k nim nemá oprávnění, může vzniknout řada fatálních důsledků jak pro dotyčného, tak pro danou organizaci, která údaje uložila a měla je udržovat v bezpečí.

Osobní údaje jsou velmi cenné pro řadu typů pachatelů, což hackery motivuje k prolomení zabezpečení a hledání osobních údajů kde to jen jde. Na druhé straně, společnosti a vládní organizace které údaje uchovávají je často dostatečně nechrání. V některých jurisdikcích se proto legislativa snaží potírat příliš laxní bezpečnostní postupy, které mohou vést k právě narušení bezpečnosti údajů.

Drobná poznámka k terminologii: někdy se rozlišuje mezi narušením bezpečnosti dat (hackerský útok) a únikem dat – situace, kdy daná organizace např. omylem umístí citlivé údaje na webovou stránku nebo jiné místo bez řádných (nebo žádných) bezpečnostních kontrol, takže k nim má volný přístup kdokoli kdo ví, že tam jsou. Hranici mezi narušením a únikem dat však nemusí být snadné stanovit a konečný výsledek je často stejný.

Jak dochází k únikům dat?

K úniku dat tedy dojde v případě, kdy někdo neoprávněný získá přístup k databázi informací ke které by neměl mít přístup. Širší definice může zahrnovat i banální případy. Například situaci, kdy se zaměstnanec knihovny tajně podívá jaké knihy si vypůjčil jeho kamarád, ačkoliv k k tomu nemá žádný legitimní pracovní důvod. Většina lidí by takové jednání nepovažovala za příliš problematické. Je ale pravdou, že některé případy narušení bezpečnosti dat jsou způsobeny právě zevnitř – to znamená, že zaměstnanci disponující v rámci své pracovní pozice přístupem k osobním údajům mohou tyto údaje zcizit za účelem finančního zisku nebo pro jiné nezákonné účely.

V jiných případech však k narušení bezpečnosti dat dochází podle stejného vzorce jako u jiných kybernetických útoků vedených osobami zvenčí, kdy hackeři prolomí ochranné kybernetické prvky a podaří se jim získat přístup k citlivým datům své oběti.

4 základní typy narušení bezpečnosti dat

Krádež zevnitř: Osoby uvnitř společnosti mohou být kompromitovány útočníky a donuceny ke krádeži dat, mohou mít vlastní osobní spory se zaměstnavatelem nebo mohou jednoduše chtít rychle vydělat peníze.

Neoprávněný přístup: Situace, v rámci které si většina z nás představí hackera jak krade osobní údaje. Útočníkem musí být zkušený kyberzločinec, který obchází firewally a další obranné systémy nebo využívá např. zero-days k přístupu do databází plných čísel kreditních karet či zdravotních údajů. Útočníci mohou používat také techniky jako je phishing, spyware apod. Specializovaná verze tohoto typu útoku může zahrnovat také fyzickou krádež hardwaru, na kterém jsou uložena citlivá data – a to buď přímo z kanceláře nebo častěji od jednotlivců, kteří si berou notebooky domů a špatně je zabezpečují.

Krádež při transferu dat: V situacích, kdy jsou přesouvány velké objemy dat, je třeba dbát zvýšené opatrnosti, protože osobní údaje přenášené v otevřených sítích bez řádného šifrování jsou obzvláště zranitelné.

Náhodné odhalení: Jedná se o scénář úniku dat, o kterém jsme hovořili výše. Je překvapivě běžné, že se citlivé databáze dostanou na místa, kde by být neměly – například se zkopírují, aby sloužily jako vzorová data pro účely vývoje a nahrají se následně na různé veřejně přístupné webové stránky. Útočníci přitom mají k dispozici automatizované nástroje, které prohledávají internet a hledají charakteristické znaky osobních údajů, čímž si vybírají své cíle. Pak jsou tu např. organizace, které nahrají citlivá data do cloudové služby, ale špatně nastaví přístupová oprávnění.


Pro organizace, které chtějí zabránit škodám způsobeným únikem dat stojí za to zvážit, co mají tyto výše uvedené scénáře společného. Většina společností se pravděpodobně domnívá, že jejich zabezpečení a postupy jsou dostatečně dobré na to, aby nedošlo k narušení jejich sítí nebo náhodnému odhalení dat. Řada z nich má v tomto ohledu pravdu, ale mnohem větší počet z nich se mýlí. Veškeré osobní údaje by měly být vždy chráněny dalšími ochrannými prvky. Například výrazně zúžit přístup k příslušným databázím, snížit tak síťovou aktivitu a průběžně ji monitorovat. S uloženými hesly je třeba zacházet obzvlášť opatrně a nejlépe je šifrovat (což často nedělají ani společnosti, které by to měly vědět nejlépe).

Jaké jsou příklady narušení bezpečnosti dat?

Organizace CSO sestavila seznam největších narušení dat v tomto století s podrobnými informacemi o příčinách a dopadech jednotlivých narušení. Patří mezi ně nejen velké hackerské útoky způsobené Čínou, ale také situace kdy unikly informace ze stovek milionů účtů ze společností jako jsou Yahoo, Adobe, LinkedIn či MyFitnessPal. A co hůř, některé společnosti se na seznamu objevují dokonce vícekrát.

Zde je stručná časová osa nejvýznamnějších úniků dat a informací:

2012

  • LinkedIn – únik informací o 165 milionech uživatelů

2013

  • Yahoo – únik informací z 3 miliard účtů
  • Adobe – 153 milionů uživatelských záznamů
  • Court Ventures (Experian) – 200 milionů osobních záznamů
  • MySpace – 360 milionů uživatelských účtů

2014

  • Yahoo – 500 milionů účtů

2015

  • NetEase – 235 milionů uživatelských účtů
  • Adult Friend Finder – 412,2 milionu účtů

2018

  • MyFitnessPal – 150 milionů uživatelských účtů
  • Dubsmash – 162 milionů uživatelských účtů
  • Marriott International (Starwood) – 500 milionů zákazníků

2019

  • Facebook – 533 milionů uživatelů
  • Alibaba – 1,1 miliardy uživatelských informací

2020

  • Sina Weibo – 538 milionů účtů

2021

  • LinkedIn – 700 milionů uživatelů
Zajímavé statistiky

Poskytovatel bezpečnostního softwaru Varonis sestavil obsáhlý seznam zajímavých statistik. Zde jsou některé co stojí za zmínku:

  • 58 % případů narušení bezpečnosti dat se týká osobních údajů.
  • 64 % Američanů neví co dělat po narušení bezpečnosti údajů.
  • V roce 2020 trvalo napadené společnosti v průměru 207 dní, než si uvědomila že došlo k narušení bezpečnosti.
Dopady narušení bezpečnosti dat na jednotlivce

V některých ohledech může být myšlenka že vám byly při narušení bezpečnosti odcizeny osobní údaje poměrně abstraktní a lidé si často mylně myslí, že se jich nic podobného netýká. Pravdou je, že zločinci toho mohou s vašimi osobními údaji udělat až nebezpečně moc. Ukradené osobní údaje jsou totiž základním stavebním kamenem pro následnou krádež identity. I částečný soubor informací o vás lze přetavit ve vydání nové kreditní karty nebo založení falešných účtů, které vás budou pronásledovat vaším vlastím jménem. Pokud bylo v ukradených údajích vaše heslo (a pokud jste nedej bože typ člověka co používá stejné heslo k více účtům), mohou hackeři v krajních případech rovnou vysát váš bankovní účet.

Jak postupovat v případě úniku dat?

Každá organizace by měla mít podrobný plán určující jak se vypořádat s únikem – zejména způsob sestavení krizové pracovní skupiny, vydání všech příslušných oznámení vyžadovaných zákonem a nalezení a odstranění hlavní příčiny.

Jste-li fyzická osoba, jejíž údaje byly při narušení bezpečnosti odcizeny, měla by vaše první myšlenka směřovat k heslům. Pokud účet jež byl narušen má totožné heslo s dalšími vašimi účty, měli byste je co nejdříve změnit, zejména pokud se jedná o účty finančních institucí apod. Vhodná aplikace správce hesel vám pomůže nejen zvolit různě silná hesla pro různé webové stránky či uživatelské účty, ale také obsahuje funkce pro zjišťování údajů o tom, že je některý z vašich účtů spojen se zveřejněným únikem dat.

Jaké mohou být důsledky úniku dat?

Rozsáhlý únik dat může samozřejmě významně poškodit pověst dané společnosti a otrávit vztahy se zákazníky, zejména pokud podrobnosti o narušení odhalí obzvláště hrubé zanedbání bezpečnostních opatření. S úniky dat jsou pak spojeny také přímé finanční náklady. V roce 2020 činily průměrné náklady na rozsáhlý únik dat téměř 4 miliony dolarů. Velká část těchto nákladů jde na vrub právních předpisů o ochraně osobních údajů, které musí společnosti dodržovat. Pokud jejich nedbalost vede k narušení bezpečnosti dat, nejde jen o související pokuty, ale také o náklady na administraci a informování všech jednotlivců jejichž data unikly.

Úniky dat a nařízení GDPR

V různých jurisdikcích existuje řada předpisů určujících jak musí společnosti reagovat na narušení bezpečnosti informací. V USA je důležitý zákon HIPAA jehož působnost je omezena na údaje týkající se zdraví. V rámci EU je pak stěžejní nařízení GDPR, které vyžaduje aby všichni uživatelé, jejichž údaje byly porušeny, byli informováni do 72 hodin od zjištění této skutečnosti. Společnostem které tak neučiní může být uložena pokuta až do výše 4 % ročních příjmů. Řešení takových situací bývá ale zpravidla poměrně složité a související důsledky závisí na tom, zda je daná firma schopna prokázat, že v dobré víře vynaložila maximální úsilí na zavedení řádných bezpečnostních kontrol.

Michael Fanta, Filip Blaha, redakce Cyberblog

Foto: Unsplash

Zdroj informací: www.csoonline.com

[give_form id=“36″]
Košík
vše o kybernetické bezpečnosti

Máte zájem o spolupráci?

Pošlete nám kontakt, my se Vám v blízké době ozveme.