Zloraba ukradenih podatkov (ang. data breach) je incident, pri katerem so bili nepooblaščeno dostopni in/ali razkriti občutljivi, zaupni ali kako drugače zaščiteni podatki.

 

Kršitve podatkov lahko vključujejo osebne zdravstvene informacije, osebne podatke, poslovne skrivnosti ali intelektualno lastnino.

 

Danes se veliko govori o zlorabi ukradenih podatkov, ki se nanašajo na osebne podatke, kot so številke kreditnih kartic, številke socialnega zavarovanja in zdravstvene zgodovine (nedavno se je zgodil tudi pri nas), kot tudi informacije o podjetju, kot so seznami strank, proizvodni procesi in izvorna koda programske opreme.

Če kdor koli, ki ni izrecno pooblaščen za to, vidi takšne podatke, naj bi organizacija, ki je zadolžena za zaščito teh informacij, utrpela kršitev podatkov. Če kršitev podatkov povzroči krajo identitete in/ali kršitev vladnih ali industrijskih mandatov, se lahko kršitelja kaznuje z denarno kaznijo. Zakonodaja, ki je na voljo na tem področju, to natančno opredeljuje, in sicer:

    • Splošna uredba EU o varstvu podatkov je stopila v veljavo 25. 5. 2018 (GDPR je kratica za General Data Protection Regulation), ki določa nova pravila glede varstva osebnih podatkov.
    • Splošna uredba postavlja enotna pravila za varstvo osebnih podatkov v EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice. Navedeno bo urejal ZVOP-2. Predlog ZVOP-2 je še vedno v zakonodajnem postopku.

Kaj so najpogostejši vzroki?

Znan primer zlorabe podatkov je napad hekerja na spletno stran podjetja ali ustanove in kraja občutljivih podatkov iz baze podatkov. Seveda niso vse kršitve tako dramatične, kot se to sliši na prvi pogled. Prav tako gre za kršitev podatkov kadar nepooblaščeni bolnišnični delavec (npr. čistilka) na računalniškem zaslonu preko ramena pooblaščenega zaposlenega vidi bolnikove zdravstvene informacije.

 

Kršitve v zvezi s podatki lahko povzročijo šibka gesla, manjkajoči popravki programske opreme (ranljivosti), izguba ali kraja prenosne računalnike in mobilne naprave. Prav tako so kritični tudi uporabniki, ki se povezujejo z brezžičnimi omrežji in vpisujejo poverilnice za prijavo ali druge občutljive informacije v tranzitu. Na ta način nehote izpostavijo svojo napravo možnosti pridobitve in zlorabe podatkov na njej.

 

Socialni inženiring – zlasti napadi, je ena od oblik zlorabe, ki se izvajajo preko e-poštnega phishinga (ribarjenja). Na ta način dosežejo, da uporabniki posredujejo svoje uporabniške račune in gesla za prijavo neposredno napadalcem. Napadalci tako pridobijo poverilnice, ki jih uporabijo za dostop do občutljivih sistemov in evidenc – dostop, ki je več mesecev nezaznan in kar je še huje neomejen. Tovrstne zlorabe lahko trajajo tudi po več mesecev ali celo leto.

Kako preprečiti zlorabe podatkov?

Splošno v praksi lahko trdimo, da ni enega univerzalnega orodja ali rešitve, ki bi nas lahko zaščitila pred zlorabami. Tisto, na kar se lahko naslonimo, je vsekakor uporaba dobre prakse na vseh področjih informacijske infrastrukture:

  • dobro poznavanje osnov varovanja informacijskih sistemov,
  • redno izvajanje posodabljanj programske opreme,
  • redno izvajanje preverjanja ranljivosti sistemov,
  • ozaveščanje uporabnikov,
  • uporaba močnih gesel,
  • vpeljava rešitev za detekcijo in preprečevanje napadov;

Medtem ko so slednji koraki neke vrste navodila in priporočila k izboljšanju informacijske varnosti, so tukaj še strokovnjaki za informacijsko varnost, kateri lahko poskrbijo za enkripcijo občutljivih podatkov, ne glede na to kje so shranjeni in kako se obdelujejo. V primeru vdora v omrežje enkripcija tako predstavlja drugi nivo zaščite.

 

Preberite tudi belo knjigo Varna avtentikacija – kako predvidljiva so vaša gesla

 

Dodatni ukrepi za preprečevanje kršitev in zmanjševanje njihovega vpliva vključujejo dobro napisane varnostne politike za zaposlene ter stalno usposabljanje za varnostno ozaveščanje in izobraževanje zaposlenih. Poleg vsega naštetega morajo imeti organizacije načrt odziva na incidente, ki ga je mogoče izvajati v primeru vdora ali kršitve. Tovrsten načrt običajno vključuje formalni postopek za identifikacijo, vsebinsko in količinsko opredelitev varnostnega incidenta.

Strošek zlorabe ukradenih podatkov

Podjetja se vsako leto soočajo z nenehno naraščajočo grožnjo zlorabe ukradenih podatkov. Toda stroški kršitve se med različnimi organizacijami razlikujejo predvsem glede na dejavnost, ki jo opravljajo.

 

Ste se sami morda kdaj vprašali, koliko bi vas stal tovrsten incident? Ali ste mnenja, da je bolje vlagati v preventivne ukrepe, da do incidenta sploh ne pride? Posvetujte se z našimi strokovnjaki za kibernetsko varnost, ki vam lahko z izvedbo varnostnega pregleda razkrijejo luknje v vašem sistemu.

 

Prispevek je pripravil Matjaž Katarinčič.