Egy biztonsági rés következtében a University of Miami 1200 páciensének adata került veszélybe. 2011 novemberében feltörték a Miller School of Medicine egyik orvosának autóját, ahonnan egy aktatását loptak el, melyben többek között egy titkosítatlan pendrive is volt.

Az usb flash meghajtó a 2005 és 2011 között kezelt páciensek adatait tartalamzta (nevek, születési dátumok, diagnózisok stb.), de pénzügyi adatok vagy társadalombiztosítási számok szerencsére nem voltak tárolva a meghajtón, közölte a University of Miami egy sajtóközleményben.

A szövetségi törvényeknek megfelelően a University of Miami tájékoztatja az érintett pácienseket az esetről, habár “az adatokkal való visszaélésről nincs bizonyíték”

Az egyetem megígérte, hogy átnézi és módosítja a fizikai és digitális biztonságra vonatkozó előírásokat, biztosítván ezáltal a betegek személyes adatainak integritását. Ez azonban nem az első adatbiztonsági incidens az egyetem történelmében. 4 évvel ezelőtt 2.1 millió páciens személyes adata vált kiszolgáltatottá, miután a számítógépes mágnesszalagokat szállító furgont kirabolták. Az adatszállítás terén tehát az egyetem semmit sem változtatott az elmúlt 4 évben. Reméljük, hogy nem kell sor kerüljön egy újabb biztonsági incidensre míg végre titkosítani fogják  a hordozható adattárolókon lévő információkat.

Ellopták az Egyesült Államok szövetségi tranzakciók ellenőrzésére használt szoftverét. A tettes állítólag Bo Zhang, egy kínai nacionalista, aki korábban a Goldman Sachs és a Bank of America alkalmazottja volt.

A Government-wide Accounting and Reporting Program egy olyan szoftver, amelyet az amerikai kincstár a pénzügyi tranzakciók ellenőrzésére és monitorozására használ, fejlelsztése pedig közel 10 millió dollárba került.

2010 júliusában Bo Zhang úgy döntött, hogy visszaél a programhoz való hozzáférési jogaival, egy külső merevlemezre másolta a forráskódót, majd hazavitte és letöltötte úgy a számítógépére, mint a laptopjára. Augusztusban Zhang elismerte az adatlopást és tettét azzal magyarázta, hogy “állása elvesztése esetén is biztos akart lenni, hogy hozzá tud férni a forráskódhoz”.

Az amerikai kincstár szóvivője azt nyilatkozta, hogy már dolgoznak a biztonsági eljárások szigorításán és “a tranzakciós adatokat, személyazonossági információkat vagy szövetésgi alapokat nem fenyegeti veszély”.

Az online kereskedelem és a legújabb generációs kütyük egyre inkább befolyásolják életvitelünket és munkánkat. Hogy a technológia rohamosan fejlődik, az tény. A go-gulf.com által publikált statisztikák viszont igazán megdöbbentők. Íme néhány statisztika arról, ami  1 perc alatt zajlik le az interneten:

• 710 számítógépet adnak el

• 232 számítógép kap vírusos fertőzést

• 2,6 millió CD, azaz 1, 820 TB adat keletkezik

• 4000 USB eszközt adnak el

• 925 iPhone-t és 81 iPad-ot adnak el

• 103 BlackBerry-t adnak el

• stb.

Ilyen körülmények között az adatbiztonság szerepe is fokozatosan nő, főleg a vállalati szférában, ahol az alkalmazottak sok esetben saját készülékeiket, gondolok itt leginkább okostelefonokra, üzleti célokra is használják. Az eszközök használatának felügyelete és az egyéb hordozható tárolóeszközök monitorozása elengedhetetlenné válik, ezért sok biztonsági szoftver ebbe az irányba fog fejlődni.

Az egészségügyi intézmények által bejelentett számos biztonsági rés és adatszivárgási eset alapján nem nehéz megállapítani, hogy ebben az ágazatban az adatbiztonság még gyerekcipőben jár. Az amerikai egészségügyi szektor biztonsági kihívásairól a Ponemon Institute publikált egy újabb jelentést, mely szerint az adatbiztonsági incidensek száma 30%-al nőtt, míg az ezekkel járó átlagos éves költségek elérték a 6,5 milliárd dollárt.

A biztonsági rések fő okának továbbra is az alkalmazottakat tekintik. A jelentés szerint a kórházak és más egészségügyi intézmények átlagosan 4 adatvesztési esettel néztek szembe az elmúlt év során, ennek következménye pedig az esetek 30%-ában személyazonosság lopás lett, ami 2010-hez képest több mint 25%-os növekedést jelent. Ez viszont nem jelenti feltétlenül azt, hogy a tavalyhoz képest nőtt az incidensek száma, hanem a magyarázatot inkább az intézmények észlelési képességének a növelésében kell kereseni, mondta Larry Ponemon, a Ponemon Institute vezetője.

Az egészségügyben használt mobil eszközök használata is igencsak fontos tényező. Az alkalmazottak 80%-a adatgyűjtésre, továbbításra és tárolásra használja ezeket az eszközöket, viszont 50%-uk nem használ semmiféle védelmi megoldást, ezáltal a betegek adatai bármikor kiszolgáltatottá válhatnak, ami árnyékot vet a személyzet által nyújtott szolgáltatásokra.

Az egészségügyi intézményekben történő adatvesztési incidensek majdnem felét a lopott vagy elvesztett eszközök okozzák, 46%-át pedig a különböző folyamatokban résztvevő harmadik fél. Az adatokkal dolgozó személyek 61%-a nem tudja hol tárolja az összes páciens adatát, míg a személyzet több mint fele nem képes felismerni az adatvesztési incidenseket.

A teljes jelentés letölthető innen.

A végpont-biztonsági szoftvereket fejlesztő CoSoSys vállalat kiadta az Endpoint Protector eszközfelügyeleti megoldásának legújabb verzióját, mely Windows-on és Mac-en egyaránt működik.

Az Endpoint Protector, ahogy a neve is mutatja, a végpontokat védi adatlopás és adatszivárgás ellen. Szabályozza a hálózati számítógépekhez csatlakoztatott mobil eszközök használatát, ellenőrzi az USB meghajtókon keresztül áramló adatokat és ezeket logok formájában tárolja.

Az Endpoint Protector 4 szerver-kliens architektúrájú alkalmazás. A szerver rész egy virtuális- vagy hardver appliance-ra előre telepítve van, így az üzembe helyezése akár perceken belül is megvalósítható. A kliens szoftver a Windows XP, Windows Vista, Windows 7 és a Mac OS X operációs rendszereket támogatja és Active Directory-n keresztül telepíthető a hálózati számítógépekre.

Részletesebben az Endpoint Protector 4 DLP megoldásról itt lehet olvasni.

A vancouveri Orvostudományi Egyetem egyik hallgatója egy laptopot és egy USB stick-et vesztett el (valószínüleg ellopták tőle) a torontói repülőtéren. Az elveszett adatokat jelszó védte, de nem voltak titkosítva.

A vancouveri Coastal Health hivatalnoka „sajnálatosnak” könyvelte el az esetet és megjegyezte, hogy az orvosok és egészségügyi szakemberek munkájuk végzésére, a hordozható eszközök használata elengedhetetlen. Ugyanakkor a hivatalnok elismerte, hogy a mobil technológiák kezelése és ellenőrzése nagy gondokat okoz a szervezetnek.

Egy másik hasonló biztonsági incidens Nagy-Britanniában történt, ahol egy ellopott laptop 100 fiatal adatát veszélyezteti. A fiatalok a Newcastle Youth Offending Team szervezet által rendezett integrációs programokban vettek részt és minden adatuk a szervezet tulajdonában lévő laptopon volt tárolva. Az ICO (Information Commissioner’s Office) bírságot szabott a szervezetre, mivel az elveszett adatok nem voltak titkosítva. Sally-Anne Poole szerint, az adatvédelem alappillére a titkosítás, mely ráadásul olcsó megoldás is . Azon szervezetek/vállalatok  amelyek alvállalkozókkal dolgoznak ki kell követeljék ezektől a biztonsági előírásokhoz való felzárkozást.

A hordozható eszközök felügyelete és az adatok titkosítása annyira egyszerű és olcsó, hogy szinte érthetetlenné válik a vállalatok és szervezetek múlasztása. A törvényhozók egyre gyakrabban hangoztatják az adatbiztonság fontosságát a személyes adatokkal dolgozó cégek esetében. Egy ilyen törvényszbályozás érvénybe lépése után nem lesz mentség a múlasztásra.

A Symantec biztonsági kutatói egy új kártevőt fedeztek fel néhány európai rendszeren. Mivel a forráskódja sok helyen megegyezik és ugyanarra a technológiára alapszik, a feltételezések szerint a Duqu-nak elnevezett vírust ugyanazok alkották, mint a sokkal híresebb Stuxnet kártevőt.

A kutatások azt mutatták, hogy a vírus nem terjed automatikusan és nem is káros a hardverekre nézve, hanem az ipari rendszerekről gyűjt adatokat, melyeket később célzott támadásokra fogják felhasználni.

A Duqu, a működéshez szükséges fájlokat a gépek memóriájába rejti és innen futtatja 36 napig, majd automatikusan törlődik a gépről.

A kutatók még nem tudják milyen módon került a vírus a fertőzött számítógépekre.

A Duqu-ról részletesebben itt lehet olvasni: http://www.wired.com/threatlevel/2011/10/son-of-stuxnet-in-the-wild/

Akik követik a blogot bizonyára látták, hogy egyre gyakrabban esik szó elveszett hordozható eszközökről (pendrive-ok, cd-k, külső merevlemezek), amelyeken bizalmas adatok voltak tárolva. Az adatvesztési incidensek számos okai közül megemlíteném a hanyagságot, emberi hibákat, szándékos atalopást stb. Mindezek elég súlyos következményekkel járhatnak. Míg a pénzügyi veszteségek időben megtérülnek, a hírnéven esett csorbát talán soha nem lehet lemosni. A rendszeres olvasók remélem tisztában vannak ezen nem kívánt események megelőzésének egyszerű módjával, éspedig az adatok titkosításával.

Napjainkban a megoldások sokaságának köszönhetően az adatok jelszavas védelme igazán nem kellenne gondot okozzon.

A CoSoSys bejelentette a héten az EasyLock titkosító szoftver második verziójának a megjelenését. A program 256bit-tes AES titkosítást használ a hordozható eszközökön lévő adatok védelmére. Elődjéhez képest, az EasyLock új verziója 30%-al gyorsabb és a Windows mellett most már Mac-en és Linux-on is egyaránt használható. Egy másik jó hír a magyar felhasználók számára, hogy a szoftver most már nem csak angolul vagy németül, hanem magyarul is elérhető.

Védje meg a pendrive-okon vagy külső HDD-n tárolt adatokat néhány kattintással. Töltse le az EasyLock titkosító szoftvert és használja 30 napig korlátlanul.

A Nemours amerikai egyesület, mely a gyerekek egészségügyi állapotával foglalkozik, egy sajtóközleményben jelentette be, hogy elveszett 3 backup szalag, melyek 1.600.000 páciens és alkalmazott nevét, születési dátumát, társadalombiztosítási számát és bankszámlaszámát tartalmazta.

A 3 backup szalagot egy szekrényben tárolták és az épület modernizációs projektjének folyamata közben tűnhetett el.

Eddig semmi sem biztonyítja, hogy a szalagokat ellopták vagy csalási célokra használták volna.

A Neumors most ingyenes védelmet biztosít az érintett személyek hitelkártya és identitás lopás védelmére egy call-centeren keresztül.

Az amerikai postahivatal egy titkosítatlan, de jelszóval védett, CD-je vált egy biztonsági incidens tárgyává.

A CD-n a US Steel Mining vállalat volt alkalmazottjainak személyes adatai voltak tárolva, többek között nevek, születési dátumok és társadalombiztosítási számok. Az incidens csak most került nyilvánosságra, mivel a Benefits Administration Services által augusztusban elküldött CD még szeptember közepén sem érkezett meg a rendeltetési helyére.

A CD feladója és az amerikai postahivatal együtt dolgozik az ügyön, viszont az elveszett hordozható tárolóeszköz keresése eddig eredménytelennek bizonyult. Egyelőre nincs bizonyíték az adatok rosszhiszemű használatára.