Když se řekne datová bezpečnost, spousta lidí si představí zejména externí hrozby. Pravdou ovšem zůstává, že hrozba se často skrývá právě uvnitř společnosti – ze strany ,,důvěryhodných“ a autorizovaných zaměstnanců. To se bohužel potvrdilo například společnosti Mall.cz, která dostala pokutu 1,5 milionů korun za nedostatečné zabezpečení zákaznických dat. Jednalo se o více jak 735 000 zákazníků, jejichž data se objevila v databázi na uloz.to.
Důvodů, proč bychom měli řešit datovou bezpečnost, není málo. Ať už se jedná o platnou legislativu, jako například zákon o kybernetické bezpečnosti (zákon č. 181/2014 Sb.), zákon o ochraně osobních údajů(zákon č. 101/2000 Sb.), dobře známé GDPR, anebo jednoduše o nějaký vlastní pud sebezáchovy.
Níže vám přinášíme 6 případů úniku dat za loňský rok. Vybrali jsme 3 veřejné kauzy, které byly v roce 2018 pokutovány a 3 příklady z vlastní zkušenosti. Přinášíme také tipy, jak si udržet data v bezpečí v roce 2019 a předejít tak nepříjemným situacím, či dokonce pokutám.
Doporučujeme přečíst: Jak používat Bitcoin anonymně? Detailní návod pro rok 2019
6 kuriózních případů úniků dat způsobených zaměstnancem
Nejprve se podívejme na již uzavřené kauzy, které byly potrestány pokutou:
- Mall.cz – Ztráta hesel uložených v databázi na uloz.to. Lidská chyba, viník nebyl zveřejněn, pokuta 1,5 milionů korun.
- MŠMT – Únik dat obsahující osobní údaje 985 žáků a jejich zveřejnění na webovém portálu. Lidská chyba, viník potrestán, pokuta 450 000 korun.
- Apple – Úmyslná krádež dat obsahující informace o autonomních vozidlech. Lidská chyba, viníkem byl Xiaolang Zhang. Čin mu byl umožněn z důvodu nekontrolovaného přístupu k datům. V loňském roce jsme se setkali s častými interními hrozbami. Ne vždy se jedná o úmyslnou zpronevěru. Může jít například o zaměstnance, který si chce usnadnit práci a „zlepšit dostupnost dat“ svým kolegům.
- Phishing – Mezi časté způsoby úniku dat patří ale také phishing. Zaměstnanec tak například může obdržet e-mail s informací, že jeho e-mailová schránka byla napadena, a útočník má přístup ke všem jeho bankovním a sociálním účtům nebo k historii vyhledávání. Útočník požaduje finanční odměnu za smazání, často ale žádá například citlivá firemní data či dokumentaci. Zaměstnanec tak mnohdy pod výhrůžkou důvěrná data třetí straně poskytne.
- Nahrání dat na datový server – Dalším způsobem narušení datové bezpečnosti ve firmě bývá nahrání citlivých dat na některé z veřejně přístupných datových úložišť. Zaměstnanec data potřebuje poslat kolegovi, na e-mail je ovšem příloha moc velká. Mnohdy nezaheslovaná data zaměstnanec nahraje například na uloz.to. Náhodou jsme takhle například narazili na kompletní výpočty mezd v jedné nejmenované české společnosti, včetně jmen, rodných čísel, dnů dovolené a výplat.
- Zaměstnanec na odchodu (spolu s daty) – Běžně se také stává, že zaměstnanci na odchodu posílají firemní dokumentaci novému zaměstnavateli.
Jak předejít ztrátě dat?
Pro IT oddělení je stále obtížnější udržet kontrolu nad systémy a aplikacemi, které zaměstnanci používají. Doporučujeme tak zaměřit se méně na omezení informací a více na práva a povinnosti zaměstnanců.
Zaměstnavatel by měl mít přehled o práci s daty u všech svých zaměstnanců, dokonce u systémových administrátorů a privilegovaných uživatelů. Samotní uživatelé by pak měli mít informace o zabezpečení dat, v takovém případě se stává jejich povinností tuto bezpečnost zachovat.
Zatímco bezpečnost sítě a serverů bude i nadále mimořádně důležitá pro vnější útoky, rizika způsobená uživateli budou vyžadovat větší zaměření na ochranu aktuálních informací. Zaměřte se méně na omezení zaměstnanců, důležitý je monitoring pohybu citlivých a ostatních dat.
Je také důležité nezapomenout, že problematika se netýká pouze citlivých firemních dat, ale kvůli GDPR také osobních dat vašich zaměstnanců.
Co číst dále?
Z databáze hotelů Marriott bylo ukradeno obrovské množství dat!
Originální článek byl připraven ve spolupráci se společností SODAT