Ne dopustite da vam priča dođe
Povrede podataka su događaji u kojima se informacije prikupljaju iz sustava bez znanja vlasnika sustava, a obično bez vlasnika računa koji je svjestan toga.
Vrsta informacija preuzeta uvelike ovisi o cilju kršenja podataka, ali u prošlosti su informacije uključivale osobne podatke o zdravlju; osobne identifikacijske podatke , kao što su ime, lozinka, adresa i broj socijalnog osiguranja; i financijske informacije, uključujući podatke o bankovnom i kreditnom karticom.
Iako je osobni podatak često cilj, to nipošto nije jedina vrsta informacija koja se želi. Trgovačke tajne, intelektualna svojstva i državne tajne vrlo su cijenjene, iako kršenja podataka koje uključuju ove vrste informacija ne čine naslove sasvim često kao one koje uključuju osobne podatke.
Vrste povrede podataka
Često razmišljamo o kršenju podataka koja se pojavljuje jer neka neobična skupina hakera infiltrira korporacijsku bazu podataka koristeći alate za zlonamjerni softver kako bi iskoristio slabu ili ugroženu sigurnost sustava.
Ciljani napadi
Iako se to sigurno događa, a metoda je bila korištena u nekim od najcjenjenijih kršenja, uključujući kršenje podataka Equifaxa krajem ljeta 2017. godine, što je rezultiralo uklanjanjem više od 143 milijuna ljudi osobnih i financijskih podataka ili 2009. Heartland Payment System, procesor kreditne kartice čija je računalna mreža ugrožena, omogućujući hakerima prikupljanje podataka na više od 130 milijuna računa kreditne kartice, nije jedini način korištenja ove vrste informacija.
Insider Job
Velik broj sigurnosnih kršenja i poduzimanja podataka tvrtke pojavljuju se iznutra, od trenutnih zaposlenika ili nedavno objavljenih zaposlenika koji zadržavaju osjetljivo znanje o poslovanju korporacijskih mreža i baza podataka.
Slučajno prekršaj
Druge vrste kršenja podataka ne uključuju nikakve posebne računalne vještine, a zasigurno nisu tako dramatične ili vijesti. Ali se događaju gotovo svaki dan. Razmislite o zdravstvenom radniku koji može slučajno vidjeti informacije o zdravlju pacijenata koje nemaju autorizaciju za pregled . HIPAA (Zakon o pokretljivosti i odgovornosti zdravstvenog osiguranja) regulira tko može vidjeti i koristiti osobne podatke o zdravlju, a slučajno gledanje takvih zapisa smatra se kršenjem podataka prema HIPAA standardima.
Do kršenja podataka mogu se pojaviti u mnogim oblicima, uključujući slučajno gledanje osobnih podataka o zdravlju, zaposlenika ili bivšeg zaposlenika s govedinom s poslodavcem, pojedincima ili skupinama korisnika koji koriste alate za umrežavanje, zlonamjerni softver i socijalni inženjering na dobiti ilegalni pristup korporacijskim podacima, špijuniranje poduzeća u potrazi za poslovnim tajnama i špijunažu vlade.
Kako se pogađaju podaci
Kvarovi podataka javljaju se ponajprije na dva različita načina: namjerno kršenje podataka i nenamjeran.
Nenamjerno kršenje
Nehotične povrede nastaju kada ovlašteni korisnik podataka izgubi kontrolu, možda tako što ima laptop koji sadrži podatke koji su izgubljeni ili ukradeni, koristeći legitimne pristupne alate na takav način da ostavlja bazu podataka izloženu drugima da vide. Razmislite o zaposleniku koji odlazi na ručak, ali slučajno otvara web preglednik na korporativnoj bazi.
Nenamjerne povrede mogu se pojaviti i u kombinaciji s namjerom. Jedan od takvih primjera je upotreba Wi-Fi mreže postavljena tako da oponaša izgled korporativne veze . Nezamisleni korisnik može se prijaviti na lažnu Wi-Fi mrežu, pružajući vjerodajnice za prijavu i druge korisne informacije za buduće hakiranje.
Namjerno kršenje
Može doći do namjernog kršenja podataka koristeći različite tehnike, uključujući izravni fizički pristup. No, metoda koja se najčešće spominje u vijestima je neki oblik cyber napada, pri čemu napadač ugrađuje neki oblik zlonamjernih programa na računala ili mrežu cilja koji omogućuje pristup napadaču. Kada zlonamjerni softver bude na mjestu, stvarni napad može se pojaviti odmah, ili se produžiti tijekom nekoliko tjedana ili mjeseci, čime napadači mogu skupiti što više informacija.
Što možeš učiniti
Provjerite je li dostupna dva faktorska autentifikacija (2FA) i iskoristite veću sigurnost koju pruža.
Ako smatrate da su vaši podaci sudjelovali u incidentu, imajte na umu da zakoni o obavijesti o kršenju podataka razlikuju se od države i da odredite pod kojim uvjetima klijenti moraju biti obaviješteni. Ako smatrate da ste dio kršenja podataka, obratite se tvrtki koja je uključena i provjerite jesu li vaše informacije ugrožene te što namjeravaju učiniti kako bi ublažili situaciju.