Zákazníci společnosti Sony, nakupující na portálu eBay, či záletníci z online seznamky Ashley Madison už to znají. Čechům se ale úniky dat ve větší míře doposud vyhýbaly. Poté, co zhruba před dvěma týdny vyšlo na povrch, že jeden ze zaměstnanců operátora T-Mobile ukradl osobní údaje 1,5 milionu zákazníků, však tvrdým způsobem poznávají realitu. A sice, že neplatí, že naše data jsou u soukromých firem – na rozdíl od státní správy – v bezpečí.
Česká republika je pro kyberzločince malý, a tudíž nezajímavý trh. Navíc zde máme pokrokový zákon o kybernetické bezpečnosti. To jsou nejčastější mýlky českých společností. Zejména těch menších a středních.
České firmy stále ještě plně nechápou význam zabezpečení svého „rodinného stříbra“, tedy svých dat. |
„Většinou ani nevědí, že k nějakým únikům z jejich firmy dochází, dokud již není pozdě a neobjeví se například u konkurence nebo na černém trhu. Je smutné, že se o této tematice začíná diskutovat až v období velkého incidentu,“ říká ředitel společnosti Safetica Petr Žikeš.
České firmy totiž stále ještě plně nechápou význam zabezpečení svého „rodinného stříbra“, tedy svých dat. Častý je názor, že bezpečnost je možné zajistit pouhou investicí do technologií. Podporuje ho i existence zákona o kybernetické bezpečnosti, který stanovuje technické požadavky i pravidla hlášení incidentů.
Slabý kyberzákon
Jenže legislativa, která měla ze soukromých subjektů jako první dopadnout právě na operátory a bankovní domy, je polovičatá. Doplácí totiž na obavy z doby jejího vzniku, že se Národní bezpečností úřad bude chtít stát šmírujícím „velkým bratrem“. Výsledkem tak je, že právní norma se zvučným jménem pouze stanovuje nepříliš vysoké standardy.
Například v současnosti propíraný případ české mobilní jedničky do působnosti NBÚ vůbec nespadá, protože jde o systém, který nebyl označen za dostatečně důležitý, a zároveň došlo k jeho narušení zevnitř, nikoliv zvenčí. A tudíž jde o problém firmy.
„Největší hrozbu nepředstavují útočníci zvenčí, ale interní zaměstnanci, kteří svojí neznalostí, leností nebo dokonce úmyslně dokážou diskreditovat milionové investice do technologií.“ |
Zároveň ale jde o důkaz toho, že investice do technologií musí jít vždy ruku v ruce s investicemi do kvality a povědomí zaměstnanců. Ty jsou sice v českých firmách na vzestupu, ale praxe bezpečnostních expertů potvrzuje, že tempo zaváděných opatření zdaleka neodpovídá rapidně vzrůstající intenzitě útoků a úniků dat.
„Největší hrozbu nepředstavují útočníci zvenčí, ale interní zaměstnanci, kteří svojí neznalostí, leností nebo dokonce úmyslně dokážou diskreditovat milionové investice do technologií. Jedinou ochranou před chtěnými i nechtěnými útoky ze strany zaměstnanců je aplikace striktních zásad kybernetické bezpečnosti v celé firmě, které zahrnují technologická, procesní i personální opatření,“ vysvětluje Michal Čábela, odborník na řízení IT rizik poradenské společnosti PwC ČR.
Kde jsou zcizená data, se neví
Právě personální stránka věci je velkou výzvou pro soukromý sektor, kde na rozdíl od státní správy nefunguje systém bezpečnostních prověrek. Technologie je suplovat nedokážou, jak ukázal opět příklad T-Mobilu, jehož nyní již bývalý zaměstnanec disponoval řadou přístupů do databází a systém DLP (Data Loss Prevention, v překladu prevence ztráty dat) tak nedokázal rozlišit řádné jednání od nekalého.
„Z vlastní praxe vnímám jako nejkritičtější a nejzranitelnější výrobní podniky, které nemají k IT blízko a pouze je využívají pro řízení technologií nebo výroby,“ říká Čábela.
Problémy mobilních operátorů, kteří bývají v zabezpečení lídry, by mohly být probuzením. |
Problémy mobilních operátorů, kteří bývají v zabezpečení lídry, by mohly být probuzením. Případ T-Mobilu, o kterém jako první informoval deník MF DNES, je v tuzemsku první svého druhu. Bohužel pro zákazníky ale stále není u konce. Operátor nejprve tvrdil, že v současnosti má všechna data zpět v držení. Jenže to nemusí být pravda, a firma proto své tvrzení nyní mírní.
„Věříme, že Policie ČR v rámci vyšetřovacího řízení zajistila veškeré existujících kopie,“ řekla LN Patricie Šedivá z tiskového oddělení T-Mobilu.
Policie nechce celou věc komentovat. Zda nějaká kopie databáze nežije vlastním životem na některém z internetových úložišť, si však ani vyšetřovatelé nemohou být jistí. Stejně jako zákazníci, kteří se marně snaží zjistit, jestli jsou mezi těmi, jejichž data unikla a co vlastně obsahují. „Není to možné říci, neboť databáze je předmětem policejního vyšetřování, které stále probíhá,“ hájí mlčení Šedivá.
Mlčení se však nezdá ani Úřadu pro ochranu osobních údajů, který kromě úniku prošetří i to, proč mu T-Mobile podal oznámení až den poté, co se zprávy o incidentu objevily v médiích.
Největší krádeže dat v historii(kdy se to stalo a počet postižených uživatelů/ zákazníků, zdroj: ITRC
Odcizeny byly údaje uživatelů produktů firmy Adobe, mezi které patří Photoshop či Reader (152 milionů) eBay (březen 2014) Údajně malá skupinka zaměstnanců vynesla údaje o uživatelích nákupního portálu (145 milionů) Heartland (přelom let 2008 a 2009) Systém, který zpracovává platby více než 250 tisíc amerických obchodníků, se nakazil malwarem, který kradl čísla karet (130 milionů) LinkedIn (červen 2012) Skupina útočníků se zmocnila údajů o 117 milionech uživatelů profesní sociální sítě (117 milionů) Target (prosinec 2013) Americký obchodní řetězec neuhlídal data svých zákazníků nakupujících na Den díkůvzdání a před vánočními svátky (110 milionů) Sony (duben 2011) Hackeři napadli síť herních konzolí PlayStation a zmocnili se čísel platebních karet, které hráči používali k nákupům her (102 milionů) Anthem (únor 2015) Hackeři vykradli databázi druhé největší zdravotní pojišťovny v USA (80 milionů) JPMorgan Chase (červenec 2014) Největší americká banka měsíc nevěděla, že jí někdo vysává osobní a kontaktní údaje klientů (76 milionů) Home Depot (září 2014) Mezinárodní síti hobbymarketů byly uloupeny platební údaje zákazníků (56 milionů) Ashley Madison (červenec 2015) Únik identifikačních údajů lidí využívajících tento portál k navazování milostných vztahů (30 milionů) T-Mobile, Czech Republic (duben 2016) Zaměstnanec českého mobilního operátora stáhl informace o 1,5 milionu zákazníků (1,5 milionu) |