TÉMA ČÍSLA
Toto riziko si však často společnosti nepřipouštějí. Podle průzkumu Dtex Systems zaměstnává více než polovina firem zaměstnance, kteří vědomě a aktivně využívají nástroje a metody, jak obejít bezpečnostní mechanismy a politiky firmy. Průzkum také odhalil, že až 41 procent společností nechává zaměstnancům přístup ke kritickým datům, přestože je ke své práci nevyužívají a nepotřebují. Vynášení informací a krádeže dat zaměstnancem jsou pak často motivovány nespokojeností a pocitem nedocenění. Lidé se tímto způsobem mstí zaměstnavateli, nicméně často jsou jejich důvody mnohem přímočařejší a data zcizí, aby je zpeněžili. Kyberzločinci zaměstnance korporací také často a aktivně verbují. V letošním roce se o únicích dat způsobených zaměstnancem mluvilo například v souvislosti s Coca-Colou, jejíž bývalý zaměstnanec si odnesl disk, který obsahoval data patřící společnosti, respektive osobní informace o 8 000 zaměstnancích. Ze společnosti SunTrust zase bývalý zaměstnanec vynesl osobní informace týkající se 1,5 milionu zákazníků (podobnou kauzu zažil v roce 2016 český T-Mobile). S rizikovým zaměstnancem se musel vypořádat také Elon Musk a jeho Tesla, kde se měl jeden ze zaměstnanců dopustit průmyslové špionáže, když se pod falešnými údaji přihlašoval do výrobního operačního systému, odkud stahoval velký objem citlivých údajů – ty měl v úmyslu poskytnout dalším subjektům.
Sociální sítě a „úniky dat“
Duchem doby jsou sociální sítě. Tyto platformy jsou naprostým rájem pro rozmanité typy útoNejvětší úniky dat 21. století Rok
Společnost
2018 2017 2016 2015 2014 2013
Aadhaar Equifax Adult Friend Finder Anthem eBay Yahoo! US Office of Personal Management Sony PlayStation Network Heartland Payment Systems TJX Companies
2012 2011 2008 2006
30
Reseller Magazine
ků, jako je například angler phishing, krádeže identit a k celé řadě dalších kriminálních aktivit (ostatně, asi každý už slyšel neuvěřitelnou historku o tom, jak si nějaký nebožák užíval dovolenou a postoval fotky z pláže, zatímco mu někdo „vybílil“ byt). Lidé naprosto bezmyšlenkovitě a dobrovolně vystavují na sociálních sítích své údaje, včetně těch citlivých. Občas se ale dostanou do nepovolaných rukou údaje i těch, kteří je prvoplánově nevyvěšují všude okolo. Když je totiž řeč o úniku dat, nemusí nutně jít o kybernetický útok a infiltrování systémů a sítí. V tomto ohledu byla pro mnohé uživatele velkým prozřením kauza Cambridge Analytica, která je spojena s jedním z dosud nejzávaznějších případů neoprávněného zneužití osobních údajů. Od organizací, jako je Facebook, se očekává, že zpracovávají osobní údaje bezpečným způsobem, tady tak, aby nedocházelo k ohrožení osobních údajů neoprávněně nebo protiprávním přístupem a zpracováním, náhodnou ztrátou, zničením nebo poškozením. Ukázalo se, že to v praxi funguje trochu jinak. Společnost Facebook poskytovala několik let neoprávněně přístup vývojářům třetích stran k osobním informacím uživatelů bez jejich vědomí. Takto nabytá data využili v Cambridge Analytice k cílení předvolebních kampaní. Kauza rezonovala i mezi vládními činiteli a Mark Zuckerberg musel vysvětlovat, co se stalo, před americkým senátem. O pár měsíců a několika sotva postřehnutelných #deleteFacebook kampaních později je však ticho po pěšině. V září ale vody rozčeřila
Kompromitované účty v milionech
Kompromitované účty v miliardách 1,2
143 412,2 78,8 145 3 22 77 134 94
další kauza, ve které mohlo dojít k ohrožení až 50 milionů účtů uživatelů Facebooku. Neznámí útočníci zneužili zranitelnosti v kódu související s funkcí „View As“, která umožňuje uživatelům vidět vlastní profil na Facebooku „očima“ jiného uživatele. Jako součást nápravných opatření byly resetovány přístupové tokeny 90 milionů účtů (pro jistotu). Data o uživatelích sociální sítě vystavil nebezpečí také Google. V důsledku chyby v jednom z API pro Google+ se mohli vývojáři třetích stran dostat k uživatelským datům z Google+ profilů, které byly neveřejné. Nebezpečí neoprávněného přístupu k datům bylo vystaveno více než 500 000 účtů. Chybu Google odhalil v březnu, ale informace se dostaly na veřejnost až o několik měsíců později – údajně nebyl důvod, protože šlo o data, jako je zaměstnání, e-mail a pohlaví. V té době však vyšla na světlo kauza Facebooku, přičemž v Googlu o podobnou „reklamu“ v době vrcholícího honu na čarodějnice nestáli. Po odhalení klesly akcie mateřské společnosti Googlu Alphabet o 1,23 procenta a Google následně oznámil konec své tragické sociální sítě Google+. Nebylo potvrzeno, že by někdo opravdu data stahoval a nějakým způsobem zneužil. Ale i to je zkrátka „únik“ dat.
Co může dělat uživatel
Uvedené příklady popisují jen zlomek toho, jakou podobu mají úniky dat ve 21. století. Je zapotřebí vnímat, že jde o závažný problém a obavy jsou v tomto případě na místě. Obavy však často dostávají podobu hysterie. I zde je na místě používat hlavně zdravý rozum. Existují už sice regulace, jejichž cílem je zajistit, aby se organizace zasazovaly o maximální bezpečí zpracovávaných dat, přesto stále dochází k rozsáhlým únikům. To svádí k otázce, proč společnosti stále nepřijímají dostatečná opatření na ochranu dat. Jenže opatření ze strany zpracovatelů nebudou nikdy dostatečná, protože na veškeré jejich snahy umí kyberzločinci reagovat velice rychle, což povede čím dál častěji k ohrožení kritických dat, obchodních tajemství, osobních údajů i unikátního know-how. To však může být pro ty, kteří podceňují investice do prevence a prvků minimalizující rizika, likvidační. V případě ochrany osobních údajů by se přece jen měly více zaktivovat i subjekty, tedy uživatelé. Uživatelé si musí uvědomit, že jen jsou osobní údaje jejich vlastnictvím a neměli by je bezmyšlenkovitě nechávat na pospas komukoliv. Násedně by bylo dobré zavést alespoň ta nejzákladnější bezpečnostní opatření – například používat u každé služby unikátní hesla pro přístup a kde je možnost, tam použít dvoufaktorovou autentifikaci. prosinec 2018 | www.rmol.cz