Keď sa povie dátová bezpečnosť, veľa ľudí si predstaví najmä externé hrozby. Pravdou však zostáva, že hrozba sa často skrýva práve vnútri spoločnosti – zo strany „dôveryhodných” a autorizovaných zamestnancov. To sa bohužiaľ potvrdilo napríklad spoločnosti Mall.cz, ktorá dostala pokutu 1,5 milióna korún za nedostatočné zabezpečenie zákazníckych dát. Išlo o viac ako 735 000 zákazníkov, ktorých dáta sa objavili v databáze na uloz.to.
Dôvodov, prečo by sme mali riešiť dátovú bezpečnosť, nie je málo. Či už ide o platnú legislatívu, ako napríklad Zákon o kybernetickej bezpečnosti (zákon č. 69/2018 Z.z.), Zákon o ochrane osobných údajov (zákon č. 18/2018 Z.z.), dobre známe GDPR alebo jednoducho o nejaký vlastný pud sebazáchovy.
Nižšie vám prinášame 6 prípadov úniku dát za minulý rok. Vybrali sme 3 verejné kauzy, ktoré boli v roku 2018 pokutované a 3 príklady z vlastnej skúsenosti. Prinášame tiež tipy, ako si udržať dáta v bezpečí v roku 2019 a predísť tak nepríjemným situáciám, či dokonca pokutám.
Odporúčame prečítať: Ako používať Bitcoin anonymne? Detailný návod pre rok 2019
6 kurióznych prípadov únikov dát spôsobených zamestnancom
Najprv sa pozrime na už uzatvorené kauzy, ktoré boli potrestané pokutou:
- Mall.cz – strata hesiel uložených v databáze na uloz.to. Ľudská chyba, vinník nebol zverejnený, pokuta 1,5 milióna českých korún.
- MŠMT – únik dát obsahujúcich osobné údaje 985 žiakov a ich zverejnenie na webovom portáli. Ľudská chyba, vinník potrestaný, pokuta 450 tisíc českých korún.
- Apple – úmyselná krádež dát obsahujúcich informácie o autonómnych vozidlách. Ľudská chyba, vinníkom bol Xiaolang Zhang. Čin mu bol umožnený z dôvodu nekontrolovaného prístupu k dátam. V minulom roku sme sa stretli s častými internými hrozbami. Nie vždy ide o úmyselnú spreneveru. Môže ísť napríklad o zamestnanca, ktorý si chce uľahčiť prácu a „zlepšiť dostupnosť dát” svojim kolegom.
- Phishing – medzi časté spôsoby úniku dát patrí však aj phishing. Zamestnanec tak napríklad môže dostať e-mail s informáciou, že jeho e-mailová schránka bola napadnutá a útočník má prístup ku všetkým jeho bankovým a sociálnym účtom alebo k histórii vyhľadávania. Útočník požaduje finančnú odmenu za zmazanie, často však žiada napríklad citlivé firemné dáta či dokumentáciu. Zamestnanec teda pod vyhrážkou veľa ráz dôverné dáta tretej strane poskytne.
- Nahranie dát na dátový server – ďalším spôsobom narušenia dátovej bezpečnosti vo firme býva nahranie citlivých dát na niektoré z verejne prístupných dátových úložísk. Zamestnanec dáta potrebuje poslať kolegovi, na e-mail je však príloha veľmi veľká. Často nezaheslované dáta zamestnanec nahrá napríklad na Uloz.to. Náhodou sme takto napríklad narazili na kompletné výpočty miezd v jednej nemenovanej českej spoločnosti vrátane mien, rodných čísiel, dní dovolenky a výplat.
- Zamestnanec pri odchode – spolu s dátami – bežne sa tiež stáva, že zamestnanci pri odchode posielajú firemnú dokumentáciu novému zamestnávateľovi.
Ako predísť strate dát?
Pre IT oddelenie je stále ťažšie udržať kontrolu nad systémami a aplikáciami, ktoré zamestnanci používajú. Odporúčame tak menej sa zamerať na obmedzenie informácií a viac na práva a povinnosti zamestnancov.
Zamestnávateľ by mal mať prehľad o práci s dátami u všetkých svojich zamestnancov, dokonca u systémových administrátorov a privilegovaných užívateľov. Samotní používatelia by potom mali mať informácie o zabezpečení dát. V takom prípade sa stáva ich povinnosťou túto bezpečnosť zachovať.
Kým bezpečnosť siete a serverov bude aj naďalej mimoriadne dôležitá pre vonkajšie útoky, riziká spôsobené užívateľovi budú vyžadovať väčšie zameranie na ochranu aktuálnych informácií. Menej sa zamerajte na obmedzenie zamestnancov, dôležitý je monitoring pohybu citlivých a ostatných dát.
Je tiež dôležité nezabudnúť, že problematika sa netýka iba citlivých firemných dát, ale kvôli GDPR tiež osobných dát vašich zamestnancov.
Co čítať ďalej?
Originálny článok bol pripravený v spolupráci s společnosťou SODAT
Nepremeškajte naše ďalšie spravodajstvo a prihláste sa na odber noviniek (návod nájdete tu). Nezabudnite nás tiež sledovať na našom Facebooku a najnovšie aj na Instagrame a Twitteri.
Tento článok je preložený z českého originálu, ktorý pre vás pripravil samslav84.