Co należy wiedzieć o naruszeniu bezpieczeństwa danych: Definicja, rodzaje, czynniki ryzyka i środki zapobiegawcze

Definicja i rodzaje naruszenia danych

Naruszenie danych, lub wyciek danych, jest zdarzeniem związanym z bezpieczeństwem, w którym chronione dane są dostępne lub ujawnione nieautoryzowanym odbiorcom. Naruszenie danych różni się od utraty danych, która ma miejsce, gdy dane nie są już dostępne z powodu awarii sprzętu, usunięcia lub innej przyczyny. Dane chronione mogą obejmować informacje o poszczególnych klientach lub pracownikach, takie jak informacje umożliwiające identyfikację osoby (PII), osobiste informacje zdrowotne, informacje o kartach płatniczych i numery ubezpieczenia społecznego. Mogą to być również informacje korporacyjne lub własność intelektualna (IP), takie jak tajemnice handlowe, szczegóły procesów produkcyjnych, dane dostawców i klientów, informacje o fuzjach i przejęciach lub dane o pozwach sądowych i innych sprawach spornych.

Naruszenia danych nie zawsze są celowe. Użytkownicy mogą przypadkowo wysłać chronione dane na niewłaściwy adres e-mail lub przesłać je do niewłaściwego udziału; w rzeczywistości błędy stanowią 17% naruszeń, zgodnie ze znanym raportem Verizon’s 2018 Data Breach Investigation Report. Ale w raporcie stwierdzono, że większość naruszeń jest celowa i motywowana finansowo. Podczas gdy różne metody są wykorzystywane do uzyskania dostępu do wrażliwych danych, 28% naruszeń wiąże się z insiderami, zgodnie z raportem Verizon. Organizacje z każdej branży są potencjalnym celem ataku.

Różne źródła definiują różne rodzaje naruszeń danych. Tutaj pogrupowałem je według pierwotnej przyczyny:

  • Cyberataki – Hakerzy używają złośliwego oprogramowania, phishingu, socjotechniki, skimmingu i podobnych technik, aby uzyskać dostęp do chronionych informacji.
  • Kradzież lub utrata urządzeń – Laptopy, smartfony, pendrive’y i inne nośniki danych mogą zostać zgubione, skradzione lub niewłaściwie zutylizowane. Jeśli zawierają one chronione informacje i trafią w niepowołane ręce, jest to naruszenie danych.
  • Kradzież danych pracowników lub wyciek danych – Pracownicy, zwłaszcza ci, którzy wkrótce odejdą, mogą celowo uzyskać dostęp do chronionych informacji bez upoważnienia w złych zamiarach.
  • Błędy ludzkie. Błędy się zdarzają, a ludzie są niedbali. Pracownicy przypadkowo wysyłają zastrzeżone dane do niewłaściwych osób, przesyłają je do publicznych udziałów lub źle konfigurują serwery, na których są przechowywane.

Lekcje wyciągnięte z trzech największych naruszeń danych na świecie

Kto: Yahoo
Kiedy to się stało: Seria naruszeń w 2013 i 2014 roku
Kiedy zostało ujawnione: 2016
Zakres naruszenia: W 2016 roku Yahoo oszacowało, że ponad 1 miliard kont użytkowników mógł zostać narażony w naruszeniu z 2014 roku. Później, w 2017 roku, przyznała, że wszystkie 3 miliardy kont użytkowników zostały zhakowane.
Szczegóły: Naruszenia wiązały się z kradzieżą danych kont użytkowników, takich jak adresy e-mail, numery telefonów, haseł, dat urodzenia i, w niektórych przypadkach, odpowiedzi na pytania bezpieczeństwa. Na szczęście nie skradziono żadnych informacji dotyczących płatności, takich jak numery kart kredytowych czy dane kont bankowych. Pierwsze naruszenie, które zostało publicznie ogłoszone w 2016 roku, miało miejsce w 2014 roku i dotyczyło około 500 milionów użytkowników. Kilka miesięcy później Yahoo ujawniło kolejne naruszenie, które miało miejsce w 2013 roku i stwierdziło, że dotknęło ono ponad 1 miliard kont użytkowników. Zajęło im prawie rok, aby zbadać i ogłosić, że wszystkie 3 miliardy kont użytkowników prawdopodobnie zostały dotknięte w 2013 breach.
Implications: W 2016 roku, kiedy dwa pierwsze ogłoszenia o naruszeniach trafić nagłówki, Yahoo był w środku negocjacji umowy zakupu z Verizon. Ze względu na to odkrycie, Verizon obniżył swoją ofertę na aktywa Yahoo o 350 milionów dolarów. Ponadto, firma została uderzona z około 43 pozwów zbiorowych.
Lessons learned: Dochodzenie w sprawie naruszenia z 2014 r. wykazało, że zespół ds. bezpieczeństwa Yahoo i kadra kierownicza wyższego szczebla od razu wiedziała, że niektóre konta użytkowników zostały zhakowane, i podjęła pewne działania naprawcze, w tym skontaktowała się z tymi użytkownikami, których konta uważała za dotknięte. Nie przeprowadzili jednak dalszych dochodzeń w celu pełnego zrozumienia sprawy. Gdyby Yahoo odpowiednio i szybko zbadało naruszenie z 2014 r., być może dowiedziałoby się o naruszeniu z 2013 r. wcześniej, być może zanim dane użytkowników zostały sprzedane na czarnym rynku. Główną lekcją jest to, aby nie rezygnować z dochodzenia, nawet jeśli incydent wydaje się być niewielki. Należy dokładnie zbadać sprawę, aby w pełni zrozumieć, co się stało, jak do tego doszło i jakie dane zostały naruszone, dzięki czemu można zminimalizować negatywne skutki i zapobiec podobnym incydentom w przyszłości.

Kto: Equifax
Kiedy to się stało: Połowa maja 2017
Kiedy zostało ujawnione: Wrzesień 2017
Zakres naruszenia: 147,9 mln amerykańskich konsumentów
Szczegóły: Hakerzy uzyskali dostęp do niektórych plików zawierających numery Social Security, daty urodzenia, adresy, numery prawa jazdy i inne informacje osobiste. 209,000 konsumentów miało również dane kart kredytowych narażone w ataku. Dochodzenie przeprowadzone przez U.S. General Accounting Office przypisał naruszenie do firmy do niewykorzystania znanych najlepszych praktyk bezpieczeństwa i jej brak kontroli wewnętrznych i rutynowych przeglądów bezpieczeństwa, w szczególności, atak wykorzystał lukę w oprogramowaniu na jednym serwerze internetowym, że Equifax nie udało się patch.
Implications: Naruszenie wpłynęło na cenę akcji firmy i Equifax’s CEO, CIO i CSO zrezygnował wkrótce po ogłoszeniu naruszenia. Naruszenie pomogło również uruchomić niektóre państwa, w tym Kalifornii, aby przejść ściślejsze przepisy dotyczące ochrony danych.
Wyciągnięte wnioski: Aby uniknąć podobnych sytuacji w Twojej firmie, nigdy nie zapominaj o tych podstawach bezpieczeństwa:

  • Znaj swoje aktywa i przeprowadzaj regularne inwentaryzacje aktywów.
  • Regularnie aktualizuj i łataj oprogramowanie.
  • Sklasyfikuj swoje dane i zabezpiecz je zgodnie z ich wrażliwością.
  • Archiwizuj lub usuwaj niepotrzebne dane w odpowiednim czasie.

Kto: Uber
Kiedy to się stało: 2016
Kiedy zostało ujawnione: 2017
Zakres naruszenia: Dane osobowe 57 mln użytkowników Ubera i 600 tys. kierowców
Szczegóły: Pod koniec 2016 roku firma Uber dowiedziała się, że hakerzy zdobyli nazwiska, adresy e-mail i numery telefonów komórkowych 57 milionów użytkowników aplikacji Uber, a także numery prawa jazdy 600 000 kierowców Uber. Hakerzy byli w stanie uzyskać dostęp do konta Ubera w serwisie GitHub, gdzie znaleźli dane uwierzytelniające do konta Ubera w Amazon Web Services (AWS). Uber dowiedział się o naruszeniu w 2016 roku, kiedy hakerzy zażądali pieniędzy, aby usunąć swoją kopię danych; Uber ostatecznie poszedł do publicznej wiadomości z naruszeniem rok później.
Konsekwencje: Uważa się, że naruszenie kosztowało Ubera drogo zarówno w reputacji, jak i w pieniądzach. Kiedy naruszenie zostało ogłoszone, wycena Ubera była 68 miliardów dolarów, a firma była w negocjacjach w celu sprzedaży udziałów do Softbank. Do czasu zamknięcia transakcji w grudniu, wycena spadła do 48 miliardów dolarów. Nie cały spadek jest spowodowany naruszeniem, ale analitycy uważają, że jest to znaczący czynnik. Dyrektor generalny Ubera oraz dyrektor ds. bezpieczeństwa i egzekwowania prawa zostali zwolnieni, a CSO został również zmuszony do odejścia. Rozliczenie wyniosło 148 milionów dolarów.
Wyciągnięte wnioski: Jeśli korzystasz z repozytoriów w chmurze, zadbaj o następujące elementy, aby zminimalizować ryzyko podobnego incydentu:

  • Wiedz, jakie informacje przechowujesz w publicznych repozytoriach i nie przechowuj tam żadnych niepotrzebnych danych.
  • Właściwie skonfiguruj swoje repozytoria w chmurze.
  • Wymuś silną kontrolę bezpieczeństwa na swoich repozytoriach w chmurze.

Największe naruszenia danych na świecie w pigułce:

Nazwa firmy Co się stało Zakres naruszenia Wyciągnięte wnioski
Yahoo Yahoo nie przeprowadziło dokładnego dochodzenia, aby w pełni zrozumieć naruszenie z 2014 roku. W rezultacie dopiero w 2016 roku odkryli prawdziwy zakres tego naruszenia. 3 miliardy kont Uznaj za priorytet dokładne zbadanie sprawy, gdy masz choćby cień podejrzenia, że doszło do incydentu.
Equifax Hakerzy wykorzystali niezałatane oprogramowanie na pojedynczym serwerze internetowym. 147,9 mln kont – Poznaj swoje aktywa i przeprowadzaj regularną inwentaryzację aktywów.
– Regularnie aktualizuj i łataj oprogramowanie.
– Klasyfikuj dane i zabezpiecz je zgodnie z ich wrażliwością.
– Archiwizuj lub usuwaj niepotrzebne dane w odpowiednim czasie.
Uber Hakerzy byli w stanie uzyskać dostęp do konta GitHub firmy Uber, gdzie znaleźli dane uwierzytelniające do konta Amazon Web Services (AWS) firmy Uber. 57 milionów użytkowników Ubera i 600 000 kierowców – Wiedz, jakie informacje przechowujesz w publicznych repozytoriach, i nie przechowuj tam żadnych niepotrzebnych danych.
– Odpowiednio skonfiguruj swoje repozytoria w chmurze.
– Wyegzekwuj silne kontrole bezpieczeństwa na swoich repozytoriach w chmurze.

Konsekwencje naruszenia bezpieczeństwa danych

Konsekwencje naruszenia bezpieczeństwa danych są często poważne i mogą mieć długotrwałe skutki w czterech kluczowych obszarach:

  • Konsekwencje finansowe. Firmy zwykle ponoszą znaczące straty finansowe, w tym kary regulacyjne i płatności z tytułu ugody. Często odnotowują również spadek wyceny, jak w przypadku Yahoo i Uber. I mogą stracić przyszłe dochody, zwłaszcza jeśli własność intelektualna jest naruszona, ponieważ często prowadzi to do utraty przewagi konkurencyjnej i udziału w rynku.
  • Prawne. W każdym przypadku, gdy naruszenie obejmuje jakikolwiek rodzaj danych osobowych, firmy mogą stanąć w obliczu pozwów zbiorowych. W niektórych przypadkach władze mogą zakazać firmom wykonywania pewnych operacji, jak to miało miejsce w przypadku Heartland w styczniu 2009 r., kiedy to uznano, że nie spełnia ona wymogów PCI DSS i zakazano jej przetwarzania płatności z głównymi dostawcami kart kredytowych do maja 2009 r.
  • Reputację. Może być trudno oszacować, jak bardzo naruszenie wpływa na reputację firmy, ale szkody są często długotrwałe. Ponadto, poszczególni dyrektorzy mogą zostać zwolnieni lub zmuszeni do rezygnacji, aby złagodzić szkody.
  • Operacyjne. Naruszenia danych często zakłócają normalną działalność, zwłaszcza podczas procesu dochodzenia. Co więcej, niektóre naruszenia danych wiążą się z całkowitą utratą ważnych danych, co jest szczególnie bolesne, ponieważ odtworzenie danych wymaga czasu.

Czynniki ryzyka naruszenia danych

Według badania 2018 Cost of Data Breach Study przeprowadzonego przez Ponemon Institute, średni koszt naruszenia danych w USA wynosi 7,91 mln USD, a średnia liczba naruszonych rekordów wynosi 31 465 – czyli 251 USD na rekord. Z tego wynika, że rozsądnie jest zainwestować część swoich wysiłków w zakresie bezpieczeństwa w ograniczanie ryzyka naruszenia danych.

Aby zmniejszyć ryzyko naruszenia danych, należy zrozumieć, skąd pochodzi ryzyko. Istnieją dwa główne czynniki ryzyka: ludzie i urządzenia. Niektóre osoby muszą mieć dostęp do informacji regulowanych lub wrażliwych; nie można po prostu uniemożliwić im dostępu do danych. Jednak ich celowe lub przypadkowe działania mogą doprowadzić do naruszenia cennych danych firmowych. Jak widzieliśmy, mogą oni popełniać błędy, takie jak wysyłanie informacji na niewłaściwy adres e-mail lub przesyłanie ich do niezabezpieczonego folderu udostępnionego, a także mogą celowo wykorzystywać swój dostęp do ważnych danych w celu uzyskania korzyści finansowych lub sabotowania firmy. Co więcej, użytkownicy mogą paść ofiarą kradzieży tożsamości, w której ktoś inny poznaje ich dane uwierzytelniające i przejmuje ich tożsamość użytkownika, aby uzyskać dostęp do danych.

Urządzenia stanowią kolejny poważny czynnik ryzyka, zwłaszcza urządzenia przenośne, które mogą przechowywać poufne dane, oraz urządzenia mobilne, które są używane do uzyskiwania dostępu do sieci i zasobów korporacyjnych. Urządzenia te są często gubione lub kradzione, a rozszerzenie kontroli bezpieczeństwa na te urządzenia może być trudne. Inne urządzenia również stanowią poważne ryzyko, gdy oprogramowanie nie jest łatane na czas lub są niewłaściwie skonfigurowane.

Zapobieganie naruszeniom bezpieczeństwa danych i reagowanie na nie

Cyberprzestępcy stale wymyślają nowe techniki i strategie, co sprawia, że trudno jest przewidzieć, jak dokładnie przeprowadzą następny atak na Twoje wrażliwe dane. Niemniej jednak, są rzeczy, które możesz zrobić, aby zminimalizować ryzyko naruszenia danych. W tym blogu postanowiłem wykorzystać NIST Cybersecurity Framework, aby nakreślić podstawowe kroki, które mogą pomóc w zapobieganiu naruszeniom danych:

  • Zidentyfikuj zagrożenia cyberbezpieczeństwa dla Twoich danych. Raport 2018 Netwrix IT Risks Report wykazał, że 70% organizacji przeprowadziło ocenę ryzyka co najmniej raz, ale tylko 33% organizacji dokonuje ponownej oceny ryzyka IT co najmniej raz w roku. Jednak zarówno zagrożenia cybernetyczne, jak i Twoje środowisko IT stale ewoluują – ludzie, oprogramowanie, sprzęt, urządzenia mobilne i platformy chmurowe stale się zmieniają. Aby odkryć nowe zagrożenia i ograniczyć je w celu ochrony danych, należy przeprowadzać ocenę ryzyka informatycznego co najmniej raz w roku.

Tylko 33% organizacji dokonuje ponownej oceny ryzyka IT co najmniej raz w roku

  • Chroń swoje dane, wdrażając odpowiednie zabezpieczenia. Jeśli nie jesteś pewien, od czego zacząć, zawsze możesz sięgnąć po wskazówki do jednego z dokumentów dotyczących zgodności z przepisami. Możesz nauczyć się czegoś lub dwóch na temat kontroli bezpieczeństwa danych, zwłaszcza z przepisów, które koncentrują się wyłącznie na bezpieczeństwie danych i prywatności, takich jak GDPR. Innym przydatnym źródłem jest lista CIS Controls, która została stworzona i jest aktualizowana przez Center for Internet Security. Ponieważ jest to obszerny temat, wspomnę tylko o trzech podstawowych zabezpieczeniach, które mogą znacząco poprawić bezpieczeństwo Twoich danych:
    • Szyfrowanie – Według badań Ponemon, drugim w kolejności czynnikiem zmniejszającym całkowite koszty naruszenia danych jest szyfrowanie. Jest to prosty, ale często zaniedbywany sposób na zabezpieczenie danych. Nawet jeśli zostaną skradzione lub naruszone, prawidłowo zaszyfrowane dane będą bezużyteczne dla złośliwych podmiotów; nie będą one w stanie ich sprzedać lub wykorzystać przeciwko Tobie lub osobom, których dane ukradły.
    • Zarządzanie dostępem do danych – Regularne poświadczanie uprawnień i monitorowanie dostępu do danych zmniejszy powierzchnię ataku i pomoże Ci wykryć nietypowe działania we wczesnym stadium.
    • Szkolenie i świadomość pracowników – Raport Netwrix pokazuje, że 50% naruszeń danych dotyczyło zwykłych użytkowników. Jasno zakomunikuj swoją politykę bezpieczeństwa i naucz swoich pracowników, jak wykrywać i reagować na ataki, a zmniejszysz swoje szanse na naruszenie danych.
  • Umożliwienie wykrywania na czas zdarzeń związanych z bezpieczeństwem cybernetycznym, które zagrażają Twoim danym. Biorąc pod uwagę, że według Verizon 68% naruszeń pozostaje niezauważonych przez miesiące lub nawet dłużej, nic dziwnego, że wykrywanie jest jednym z dwóch głównych obszarów, które respondenci badania Netwrix IT Risks planują poprawić w celu zminimalizowania ryzyka naruszenia bezpieczeństwa danych. Jednym z naprawdę dobrych źródeł, które może pomóc jest baza wiedzy MITRE ATT&CK, która szczegółowo opisuje znaki, których należy szukać, aby wykryć ataki.

62% respondentów stwierdza, że musi opracować i wdrożyć odpowiednie działania w celu zidentyfikowania wystąpienia zdarzenia związanego z bezpieczeństwem cybernetycznym

  • Przygotuj się do właściwej reakcji w przypadku wykrycia naruszenia bezpieczeństwa danych. Opracuj plan reagowania i jasno go zakomunikuj, aby wszyscy w firmie wiedzieli, z kim się kontaktować i co robić w przypadku naruszenia ochrony danych. Uwzględnij w swoim planie procedurę powiadamiania dostosowaną do regulacji, którym podlega Twoja firma. Pamiętaj o lekcji płynącej z naruszenia danych przez Yahoo – przeprowadź dokładne dochodzenie, aby w pełni zrozumieć, co się stało, jak do tego doszło, jakich danych to dotyczy i co należy zrobić, aby zapobiec podobnym incydentom w przyszłości.
  • Bądź w stanie odzyskać dane, systemy i usługi, które zostały skradzione lub zniszczone w wyniku naruszenia danych. Posiadaj plan odzyskiwania danych oraz regularnie go testuj i ulepszaj.

Podsumowanie

Powyższe podstawowe środki mogą być doskonałym punktem wyjścia do zmniejszenia ryzyka naruszenia ochrony danych. Jednak każdy z nich wymaga dokładnej analizy i przełożenia na specyfikę działalności Twojej firmy. Oto kilka rzeczy, które mogą Ci pomóc w tym procesie:

  • Nie rób tego sam. Poszukaj rozwiązań, które pomogą zautomatyzować jak najwięcej zadań, abyś Ty i Twój zespół mogli skupić się na strategicznie ważnych działaniach.
  • Poszukaj nowych rozwiązań w zakresie cyberbezpieczeństwa w różnych branżach i zastosuj te, które wydają się najlepiej pasować do Twojej firmy.

Ewangelista produktu w Netwrix Corporation, pisarz i prezenter. Ryan specjalizuje się w ewangelizacji cyberbezpieczeństwa i promowaniu znaczenia widoczności zmian w IT i dostępu do danych. Jako autor, Ryan skupia się na trendach bezpieczeństwa IT, ankietach i spostrzeżeniach branżowych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *