Egy lopott laptop 24.000 brit állampolgár adatát veszélyezteti

Gondoltam, hogy a biztonsági réseket büntető bírságok növelése ösztönözni fogja a vállalatokat ügyfeleik bizalmas adatainak magasabb szintű védelmére. De a dolgok nem ilyen egyszerűek.
Nemrég, az A4 Training cégtől egy laptopot loptak el, mely 24.000 brit állampolgár személyes adatát tartalmazta. A laptopon lévő adatok nem voltak titkosítva.
A kereskedelmi társaság képvislői szerint az adatok nem tartalmaztak banki adatokat és illegális használatuk valószínűsége elég alacsony. Ugyanakkor a vállalat elnézést kért az incidensért és biztosította az érintett személyeket, hogy intézkedéseket fognak hozni adataik megvédése érdekében.
Eddigi ismereteink szerint az adatokat még nem sikerült visszaszerezni.

Mennyibe kerül egy banki adatvesztés?

Az amerikai Javelin Strategy & Research intézet által végzett tanulmány szerint, 2009-ben az adatszivárgások kb. 253 millió dolláros károkat eredményeztek a bankoknak.
Ez a pénz több mint 70 millió bankkártya cserélésére volt felhasználva, amiből  39 millió debit és 33,3 millió kredit kártya volt.
A tanulmány által feltárt másik fontos szempont, hogy az amerikai fogyasztók 26%-a kapott legalább egy értesítést valamilyen cégtől, személyes vagy banki adataik illetéktelen kezekbe való kerüléséről. Ezen személyek 11,5%-a később személyazonosságukkal való visszaélés áldozataivá váltak.
Olvasson többet az adatvesztésről és adatszivárgásról.

A Lincoln Egészségügyi központ 130.000 beteg adatát vesztette el

Újabb adatvesztés az Egyesült Államokban: A New York-i Lincoln Medical and Mental Health Center-ből 130.000 beteg személyes adata szivárgott ki. Az adatok neveket, címeket, társadalombiztosítási számokat, születési dátumokat és jogosítványszámokat tartamaztak. Úgy tűnik, hogy a bejegyzések néhány CD-n voltak tárolva és a FedEx-en keresztül lettek elküldve, de nem érkeztek meg a rendeltetési helyükre. Vizsgálatot indítottak az elvesztett CD-k miatt, de az adatokat nem sikerült visszaszerezni.

Az intézmény, mely a személyes adatok bejegyzésével foglalkozik nem fordít túl sok figyelmet az adatok bizalmas jellegére, bár ez komoly következményekkel járhat (pl. személyazonsság lopás).

A kórházakban, egészségügyi központokban vagy klinikákban történő adatvesztések elkerülése végett, a szakértők olyan szoftver használatát ajánlják, mely ellenőrzi a számítógép végpontjait és titkosítja a hordozható tárolóeszközökre másolt adatokat. Reméljük, hogy a Lincoln intézet IT biztonsági felelősei ezek után nagyobb figyelmet fognak szánni pácienseik adatainak védelmére.

Elveszett 7500 alkalmazott adata

Az Egyesült Államok Belügyminisztériumából eltűnt egy CD, ami 7500 alkalamazott személyes adatát tartalmazta. Az incidenst bejelentették, de az adatokat még nem szerezték vissza. Hamarosan elindítják a bírósági eljárást is.

Biztonsági rés az Apple-nél

Egy újabb biztonsági hibát fedeztek fel  a közelmúltban az Egyesült Államokban. Az Apple által piacra dobott utolsó hordozható eszköz, a híres iPad, miatt 114.000 személy e-mail címe került nyilvánosságra. Ezek a személyek akik üzletemeberek, katonaságban szolgálók vagy politikusok, most potenciális célpontokká váltak a hackerek vagy spammelők számára.
Úgy tűnik, hogy a résért az AT&T szolgáltató felelős, mely egy e-mail címet egy ID-t (azonosítót) kér a felhasználók hitelesítése érdekében. A címeket egy PHP szkript segítségével sikerült megszerezni az AT&T oldalról. A http alapú kérvény kitöltését követően a felhasználó kapott egy ID-t, de a szkript megjelenítette az e-mail címét is. Az azonosítók könnyen megszerezhetők az Internetről.
Az AT&T végül megoldotta a problémát, viszont az utóhatások csak ezután jönnek, mivel sokan még most sem értesültek a létező résről.

Az adatvesztésről bővebben a gawker.com oldalon lehet olvasni.

Az ügyfelek és az alkalmazottak személyes adatainak védelme elengedhetetlen követelmény a vállalatokra nézve

Minden szervezet közül a kereskedelemi társaságok gyűjtik be a legtöbb személyes adatot. Attól függetlenül, hogy ügyfeleik azonosító adatairól vagy a saját alkalmazottaik adatairól van szó, a kereskedelmi társaságok  óriási mennyiségű adatokkal dolgoznak naponta. Az adatok nagyrésze hordozható tárolóeszközökön, külső merevlemezeken vagy laptopokon keresztül jutnak el egyik helyről a másikra. Az utazó adatok veszélyeknek vannak kitéve, következésképpen azokat is veszély fenyegeti akik az adatokban megjelennek, de még az adatokat feldolgozó cég is veszélyben forog. Lássuk miért!
Egy laptop vagy egy USB stick, mely személyes információkat tartalmaz könnyen elveszthető vagy ellopható, így az embereket lopás vagy akár identitás lopás fenyegeti. Ha a cég felelős az adatvesztésért, akkor ez rá is jelentős költségekkel jár.
Mindezek az információk azt mutatják, hogy az adatvesztéssel járó veszélyek reálisak és a vele járó költségek meghaladhatják a pénzügyi veszteségek határát: márka iránti hűség, bizalom csökkenése, image rombolás stb.
A cégek meg kell értsék, hogy ügyfeleik biztonsága olyan tényező, mely megkülönbözteti őket a versenytársaktól, különbséget tesz a siker és a kudarc között. Ezt titkosítási és végpont védelmi megoldások gyakrolatba ültetésével lehet megvalósítani.

100%-al nőnek az adatvesztési bírságok Nagy-Britanniában

Az utóbbi évek számos adatvesztési incidensei következtében, az ICO (Information Commissioner’s Office) akár £500.000 értékű bírságot is szabhat a szervezetekre.
Egz nemrégiben készült tanulmány szerint, az alkalmazottak nem tudják, hogy figyelmetlenségük vagy meggondolatlanságuk mennyire költséges lehet a cég számára. Az igazság az, hogy a munkáltatók sem informálják megfelelően az alkalmazottaikat a szükséges óvintézkedésekről.
A tanulmány szerint az alkalamazottak 64%-a teszi hordozható eszközökre az ügyfelek személyes adatait; ebből csupán 12% használ titkosítási szoftvert, 50%-ának van jelszavas védelme, míg 38%-a védelem nélküli hordozható eszközön tárolja az érzékeny adatokat.
A bírság növelése kényszeríteni fogja a cégeket, hogy megfelelően védjék ügyfeleik adatait, viszont ami igazán fontos, az a nevelés, oktatás a személyes adatok tiszteletben tartására és biztonsági politikák gyakorlatba ültetésére.
Az adatvesztési bírságokról bővebben itt lehet olvasni: http://www.theregister.co.uk/2010/04/05/ico_power_analysis/

Az adatavesztések okai kis- és középvállalatoknál

Az utobbi években az adatvesztés egyre gyakrabban felmerülő probléma. Az események során a kis- és középvállalatok szenvedték a legnagyobb károkat.
A veszteségek okai különbözőek, ezért csak a legfontosabbakat említeném meg:
- hardver eszközök elvesztése (USB stick, CD/DVD, külső HDD)
- alkalmazottak figyelmetlensége (az esetek 70% lopás, a többi figyelmetlenség)
- kibertámadások (hackerek 11%)
Ahhoz, hogy az egyre szaporodó fenyegetések ellen megfelelően védekezzünk, titkosítani kell a hardver eszközökön tárolt adatokat és a biztonsági politikát a védelmi célokra készült szoftverekre kell alapozni.

Vállalati számítógépek USB meghajtóinak letiltása

A cégek bizalmas adatai gyakran veszélybe kerülnek, mivel a felhasználók ellenőrízetlenül használják őket. Legtöbb esetben figyelmetlenség miatt, de vannak helyzetek, amikor az alkalmazott elhagyja a céget és másolatot készít az érzékeny adatokról, melyeket ez USB stickre tesz. Mit kezdenek ezekkel az adatokkal? Saját vállalkozást indítanak, átállnak a versenytársakhoz vagy eladják őket.

Számos megoldás létezik az adatok kiszivárogtatására, de a felmérések szerint a leginkább használtak a papírra való nyomtatás, CD/DVD-re való írás, USB stickek, bluetooth, stb.

Ezek az adatmásolási módszerek, nem hagynak nyomokat, így a cég nem kaphatja el a tettest. A biztonsági felelősöknek egyetlen egy módjuk van megakadályozni az adatvesztést és adatlopást: olyan program telepítése, mely letiltja azokat a meghajtókat, melyeken adatokat lehet kiszivárogtatni.

Az Endpoint Protectorhoz hasonló szoftverek segítségével a felhasználóknak másolási jogokat lehet adni és átlehet venni a cégen belüli adatmozgás feletti kontrollt. Az alkalmazottaknak megengedhetjük, hogy adatokat másoljanak a számítógépről a hordozható eszközökre vagy fordítva, adhatunk nekik olvasási jogot vagy letilthatjuk egészen a hordozható eszközök használatát. Ezen kívül ha Endpoint Protector mellett Easy Lock-ot is használunk, akkor a hordozható eszközökre másolt adatokat titkosíthatjuk is.

Legyünk óvatosak cégünk adataival és ne bízzuk őket bárkire.

Új 128 GB-os pendrive-ok, segítség vagy veszély?

A pendrive szolgáltatók piacra dobták az eddigi legnagyobb tárolókapacitású (128 GB) USB stickeket. Feltevődik a kérdés, milyen következményei lesznek a vállalatokra nézve?

Egyrészt a stickek segítséget nyújthatnak, mivel nagymennyiségű információt képesek tárolni, eképpen növelik a vállalat termelékenységét. Kis méretük miatt könnyen hordozhatók és nagyon praktikusak: csatlakoztatjuk a számítógéphez és már használhatjuk is.

Másrészt viszont veszélyt jelenthetnek, ha ellenőrzés nélkül használják őket. Képzeljük el, hogy egy alkalmazott csatlakoztatja a sticket a hálózatban lévő számítógéphez és különböző adatokat másol rá, mint például: ügyfelek listája, felhasználónevek, kutatási eredmények és így tovább. Mit tesz ő ezekkel az adatokkal? Bármit, mert a vállalat nem tudja bizonyítani, hogy ki felelős az adatszivárgásért.

Ezért próbálom előmozdítani az olyan megoldásokat, melyek megelőzik az adatszivárgást és ellenőrzik a a hordozható eszközöket. Véleményem szerint, termelékenységük növelésére a vállalatok alkalmazottaik rendelkezésére kell bocsássák ezeket a nagy tárolókapacitású USB stickeket, de csak ha ezek titkosítási szoftverrel vannak ellátva, hogy a rajtuk lévő információkat csak a tulajdonos tudja leolvasni (jelszó általi védelem) és csak ezeket lehessen használni a vállalaton belül.

Hogy biztosíthatjuk mindezt? Olyan megoldás telepítésével, mely ellenőrzi a hordozható eszközöket.