Hlavní navigace

Úniky dat: Hlavní obětí je důvěra lidí v internet

David Slížek

Proč firmy bezpečnost zanedbávají? Chovají se vlastně ekonomicky. Na jejich bedra totiž plně nedopadají všechny škody, které únik způsobí.

Velký únik dat z Friend Finder, půl miliardy záznamů z Yahoo, 68 milionů z Dropboxu, v Česku pak zaměstnanecká krádež dat o zákaznících T-Mobilu nebo nedávný únik z e-shopu Xzone. To jsou jen ty nejznámější úniky z poslední doby. A to ještě jen ty, o kterých víme – a o řadě z nich jsme se dozvěděli se zpožděním v řádu měsíců či let od chvíle, kdy k nim skutečně došlo. Tedy v době, kdy už bylo na nějaká ochranná opatření v podstatě pozdě.

Bezpečnostních incidentů tohoto druhu přibývá. Příčinou nejsou ani tak zlepšující se schopnosti útočníků, jako spíš nedbalost firem, které data uživatelů sbírají, ukládají a používají. Dopady úniků na firmy i jejich zákazníky jsou zásadní a dlouhodobé, konstatuje ve své čerstvé zprávě Global Internet Report (PDF v angličtině) nezisková organizace Internet Society (ISOC). V řadě známých případů podle ní přitom nemuselo k únikům vůbec dojít.

„Proč firmy nedostatečně chrání ty, kteří jim svěřují své osobní informace? Je to z toho důvodu, že nenesou všechny náklady za úniky dat? Nebo proto, že jim lepší ochrana dat nepřináší žádné výhody? Odpověď na obě otázky je ano,“ konstatuje zpráva.

Hlavní partner seriálu

 
Advertisement

Hlavní obětí současné situace je důvěra v internet, dodává ISOC. „Bez důvěry budou lidé online méně ochotní svěřovat internetu své osobní údaje a ti, kteří zatím online nejsou, budou mít důvod, proč offline zůstat. Internetová ekonomika neporoste tak rychle, jak by mohla,“ varuje organizace.

Největší úniky

Podle bezpečnostní firmy Gemalto počet odhalených bezpečnostních incidentů rok od roku stoupá. Za první polovinu roku 2016 firma zaregistrovala 974 úniků dat, v 29 z nich šlo o únik více než milionu záznamů o uživatelích (u 52 % úniků přitom rozsah ukradených dat není znám). A to jde pouze o ty úniky, které se dostaly na veřejnost. O rok dříve přitom ve svém Breach Level Indexu za stejné období zaznamenala „pouze“ 766 úniků.

Čísla firmy, která se zabývá prodejem bezpečnostních řešení, je samozřejmě potřeba brát trochu s rezervou. Zvýšený počet zveřejněných úniků se dá možná z části vysvětlit větším tlakem na to, aby firmy o únicích informovaly. Na druhé straně firmy úniky často odhalí až ve chvíli, kdy jejich data začne někdo prodávat na některém tržišti na dark webu.

K nejzávažnějším únikům první půlky roku podle firmy Gemalto patří květnové odhalení úniku údajů 40 milionů uživatelů sex-seznamky Fling.com (data podle majitele domény unikla už v roce 2011 a obsahovala například hesla uložená v plaintextu), 30 milionů záznamů provozovatele videostreamovací aplikace 17, populární hlavně na asijských trzích (mimo jiné hesla chráněná algoritmem MD5, která se dala snadno rozšifrovat), nebo únik 55 milionů záznamů o voličích na Filipínách.

Co s tím?

K většině známých úniků přitom nemuselo vůbec dojít, kdyby se firmy více zabývaly bezpečností a ochranou svých dat, tvrdí ISOC. Útočníci byli schopní využít i dlouho známé zranitelnosti, které měly firmy mít dávno opravené. Velké úspěchy také slaví staré známé sociální inženýrství.

Proč firmy bezpečnost zanedbávají? Podle ISOC se vlastně chovají ekonomicky a jedním z hlavních důvodů je skutečnost, že na jejich bedra plně nedopadají všechny škody, které únik způsobí. „Náklady druhých (zejména uživatelů – pozn. redakce) jsou externalitami, které firmy nutně neberou v úvahu při rozhodování o tom, jak se proti únikům bránit,“ argumentuje ISOC. Na druhé straně firmy nevidí ve větším zabezpečení výhodu, protože bezpečnost nedokáží laickým uživatelům jednoduše vysvětlit jako konkurenční výhodu.

Tak jako tak, firmy by podle ISOC měly změnit svůj přístup k ochraně dat svých zákazníků. „Měly by se považovat za správce údajů svých uživatelů a chránit tato data nejen z obchodních důvodů, ale také kvůli lidem samotným,“ myslí si poněkud idealisticky ISOC. Firmy by si také měly uvědomit, že internet je kolektivní odpovědností.

„Na internetu jsou všichni propojení. Jeden únik může vést k dalšímu (jinými slovy ‚tvůj únik může být mým únikem‘). Firmy nenesou pouze odpovědnost za ochranu svých dat, s ostatními hráči sdílejí kolektivní odpovědnost za bezpečnost celého ekosystému. Týká se to prodejců, zaměstnanců, státních úřadů a dalších. Pokud by jen jeden z těchto článků nefungoval, může se narušit důvěra v celý systém,“ tvrdí zpráva.

Ke zlepšení situace navrhuje ISOC ve své zprávě pět doporučení: středobodem řešení se podle organizace musí stát uživatel, firmy musí být otevřenější při zveřejňování informací o únicích a bezpečnost dat se musí stát jejich zásadní prioritou. Firmy také musí být za úniky plně odpovědné. A jejich motivaci pro investice do bezpečnosti by mělo posílit důvěryhodné a nezávislé posuzování bezpečnosti, ve kterém by se uživatelé jednoduše orientovali.

Celou zprávu Global Internet Report si můžete přečíst zde (PDF v angličtině).

Našli jste v článku chybu?

28. 11. 2016 16:18

Co si polozit jinou otazku. Je skutecne chybou, ze lide ztraci duveru v Internet a nejruznejsi poskytovatele sluzeb, kteri po nich vyzaduji osobni udaje?

28. 11. 2016 10:55

fd (neregistrovaný)

"...budou lidé online méně ochotní svěřovat internetu své osobní údaje a ti, kteří zatím online nejsou, budou mít důvod, proč offline zůstat..."

Nevim jak autor, ale ja konstatuji, ze jedno i druhe je nanejvyse sprave a zcela korektni chovani. A pokud se toho docili za pomoci medializace uniku dat, tak jedine dobre.

Apropos, nevim co je nebo neni zavazneho na uniku udaju z nejake seznamky, ale napriklad u Microsoftu donedavna slo primitivne jednoduse pristupovat k datum zcela libovolneho uziva…

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu