Csendben szivárognak az adataink

2017. november 03. 09:38 - Csizmazia Darab István [Rambo]

Egy friss statisztika szerint a 2017-es év első felében több adat került illetéktelen kezekbe, mint tavaly az egész esztendő (1.37 milliárd) alatt. Ez összességében tavaly 1.9 milliárd elveszett személyes adat volt - és már csak alig félév van a GDPR hatálybalépéséig.

A breachlevelindex.com által publikált felmérés szerint naponta hozzávetőlegesen átlag 10 millió adatrekordot tulajdonítanak el.

A statisztikai szomorú eredménye az is, hogy az ellopott adatok mindössze 1 százaléka van titkosítva, ezzel nehezítve a kiszivárgott adatok használhatóságát. Pedig a titkosítás alkalmazásával (PGP, GPG, ESET Endpoint Encryption, stb.) nagyban megelőzhető lenne az érzékeny információkhoz való jogosulatlan hozzáférés, valamint a felhasználói adatok kiszivárgásából fakadó későbbi kockázatokat is minimálisra csökkenthetné.

A beszámoló szerint leginkább a külső támadók jelentenek veszélyt az adatokra (74%), de belső munkatársak által bosszúból vagy anyagi haszonszerzésből elkövetett, illetve támogatott akcióból is sokszor (8%) történik adatszivárgás.

Területileg Észak-Amerikában történik a legtöbb ilyen jellegű incidens, ez 86%-ot jelent, valamint azt is, hogy ott törvény írja elő ezeknek a nyilvánosságra hozását. Európából mindössze 5%-a származik a felmérésben szereplő bejelentett adatsértéseknek.

Ezen viszont nagymértékben változtat majd a már elfogadott, és 2018. májusában hatályba lépő General Data Protection Regulation, vagyis az európai uniós Általános Adatvédelmi Rendelet. Emellett az ausztrálok is mozgolódnak ezen a téren, és az úgynevezett Notifiable Data Breaches, vagyis az incidensek bejelentési kötelezettségének szabályozása is segíthet tisztább képet kapni a valós helyzetről.

A breachlevelindex 2013. óta gyűjt információkat az adatlopásokról, és ezeket vizsgálva egyértelműen látszik, évről évre egyre nagyobb kihívást jelent az adatszivárgás elleni hatékony védelem, illetve a már bekövetkezett incidensek megfelelő kezelése, kommunikációja.

Emlékezetes, hogy például a Target áruház lánc esetében a 2013. év végi incidensben 70 millió ügyfél személyes adata és mintegy 40 millió hitel- és bankkártya adata került rossz kezekbe.

Mint utólag kiderült, a Target számára az incidens teljes költsége 290 millió USD volt, amelyből a biztosításaik révén viszont mindössze 90 millió dollár térült meg. 

Rossz kommunikáció egyik példája lehet az Adobe elleni incidens, ahol eleinte tagadták, illetve szépítették a károkat, pedig 150 millió ügyféladat, 3.2 millió hitel- és bankkártya adat, sőt forráskódok is áldozatul estek a támadásnak.

És persze említhetjük a Sony esetét is, ahol 2011-2012-ben húsz támadási hullámban összesen 24 mrdUSD veszteséget szenvedtek el, amit elhallgatták, nem kezelték megfelelően. Érdekes módon 2014-ben is történt náluk egy újabb 100 TB mértékű adatlopás, levelezés kiszivárgás. 

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

2017.11.03. 10:15:13

Kicsit lemaradtam: mikortól titkosított egy adat? Ha titkosítom a fájlrendszert, az elég? Az adatbázis mezőiben tárolt adatnak kell kódoltnak lennie? Utóbbi esetben, ha készítek egy API-t ami adatot szolgáltat, vajon küldheti-e dekódolt állapotban?
süti beállítások módosítása