Hlavní navigace

Úniky dat: Hlavní obětí je důvěra lidí v internet

28. 11. 2016
Doba čtení: 4 minuty

Sdílet

 Autor: stevanovicigor / depositphotos
Proč firmy bezpečnost zanedbávají? Chovají se vlastně ekonomicky. Na jejich bedra totiž plně nedopadají všechny škody, které únik způsobí.

Velký únik dat z Friend Finder, půl miliardy záznamů z Yahoo, 68 milionů z Dropboxu, v Česku pak zaměstnanecká krádež dat o zákaznících T-Mobilu nebo nedávný únik z e-shopu Xzone. To jsou jen ty nejznámější úniky z poslední doby. A to ještě jen ty, o kterých víme – a o řadě z nich jsme se dozvěděli se zpožděním v řádu měsíců či let od chvíle, kdy k nim skutečně došlo. Tedy v době, kdy už bylo na nějaká ochranná opatření v podstatě pozdě.

Bezpečnostních incidentů tohoto druhu přibývá. Příčinou nejsou ani tak zlepšující se schopnosti útočníků, jako spíš nedbalost firem, které data uživatelů sbírají, ukládají a používají. Dopady úniků na firmy i jejich zákazníky jsou zásadní a dlouhodobé, konstatuje ve své čerstvé zprávě Global Internet Report (PDF v angličtině) nezisková organizace Internet Society (ISOC). V řadě známých případů podle ní přitom nemuselo k únikům vůbec dojít.

„Proč firmy nedostatečně chrání ty, kteří jim svěřují své osobní informace? Je to z toho důvodu, že nenesou všechny náklady za úniky dat? Nebo proto, že jim lepší ochrana dat nepřináší žádné výhody? Odpověď na obě otázky je ano,“ konstatuje zpráva.

Hlavní partner seriálu

 
Advertisement

Hlavní obětí současné situace je důvěra v internet, dodává ISOC. „Bez důvěry budou lidé online méně ochotní svěřovat internetu své osobní údaje a ti, kteří zatím online nejsou, budou mít důvod, proč offline zůstat. Internetová ekonomika neporoste tak rychle, jak by mohla,“ varuje organizace.

Největší úniky

Podle bezpečnostní firmy Gemalto počet odhalených bezpečnostních incidentů rok od roku stoupá. Za první polovinu roku 2016 firma zaregistrovala 974 úniků dat, v 29 z nich šlo o únik více než milionu záznamů o uživatelích (u 52 % úniků přitom rozsah ukradených dat není znám). A to jde pouze o ty úniky, které se dostaly na veřejnost. O rok dříve přitom ve svém Breach Level Indexu za stejné období zaznamenala „pouze“ 766 úniků.

Čísla firmy, která se zabývá prodejem bezpečnostních řešení, je samozřejmě potřeba brát trochu s rezervou. Zvýšený počet zveřejněných úniků se dá možná z části vysvětlit větším tlakem na to, aby firmy o únicích informovaly. Na druhé straně firmy úniky často odhalí až ve chvíli, kdy jejich data začne někdo prodávat na některém tržišti na dark webu.

K nejzávažnějším únikům první půlky roku podle firmy Gemalto patří květnové odhalení úniku údajů 40 milionů uživatelů sex-seznamky Fling.com (data podle majitele domény unikla už v roce 2011 a obsahovala například hesla uložená v plaintextu), 30 milionů záznamů provozovatele videostreamovací aplikace 17, populární hlavně na asijských trzích (mimo jiné hesla chráněná algoritmem MD5, která se dala snadno rozšifrovat), nebo únik 55 milionů záznamů o voličích na Filipínách.

Co s tím?

K většině známých úniků přitom nemuselo vůbec dojít, kdyby se firmy více zabývaly bezpečností a ochranou svých dat, tvrdí ISOC. Útočníci byli schopní využít i dlouho známé zranitelnosti, které měly firmy mít dávno opravené. Velké úspěchy také slaví staré známé sociální inženýrství.

Proč firmy bezpečnost zanedbávají? Podle ISOC se vlastně chovají ekonomicky a jedním z hlavních důvodů je skutečnost, že na jejich bedra plně nedopadají všechny škody, které únik způsobí. „Náklady druhých (zejména uživatelů – pozn. redakce) jsou externalitami, které firmy nutně neberou v úvahu při rozhodování o tom, jak se proti únikům bránit,“ argumentuje ISOC. Na druhé straně firmy nevidí ve větším zabezpečení výhodu, protože bezpečnost nedokáží laickým uživatelům jednoduše vysvětlit jako konkurenční výhodu.

Tak jako tak, firmy by podle ISOC měly změnit svůj přístup k ochraně dat svých zákazníků. „Měly by se považovat za správce údajů svých uživatelů a chránit tato data nejen z obchodních důvodů, ale také kvůli lidem samotným,“ myslí si poněkud idealisticky ISOC. Firmy by si také měly uvědomit, že internet je kolektivní odpovědností.

„Na internetu jsou všichni propojení. Jeden únik může vést k dalšímu (jinými slovy ‚tvůj únik může být mým únikem‘). Firmy nenesou pouze odpovědnost za ochranu svých dat, s ostatními hráči sdílejí kolektivní odpovědnost za bezpečnost celého ekosystému. Týká se to prodejců, zaměstnanců, státních úřadů a dalších. Pokud by jen jeden z těchto článků nefungoval, může se narušit důvěra v celý systém,“ tvrdí zpráva.

BRAND24

Ke zlepšení situace navrhuje ISOC ve své zprávě pět doporučení: středobodem řešení se podle organizace musí stát uživatel, firmy musí být otevřenější při zveřejňování informací o únicích a bezpečnost dat se musí stát jejich zásadní prioritou. Firmy také musí být za úniky plně odpovědné. A jejich motivaci pro investice do bezpečnosti by mělo posílit důvěryhodné a nezávislé posuzování bezpečnosti, ve kterém by se uživatelé jednoduše orientovali.

Celou zprávu Global Internet Report si můžete přečíst zde (PDF v angličtině).

Byl pro vás článek přínosný?

Autor článku

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

  • Úniky dat: Hlavní obětí je důvěra lidí v internet
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).