Únik dat
Únik dat je porušení zabezpečení, při kterém jsou citlivá, chráněná nebo důvěrná data kopírována, přenášena, prohlížena, odcizena, pozměněna nebo použita osobou, která k tomu nemá oprávnění. Používají se také pojmy jako neúmyslné vyzrazení informací a únik informací, únik osobních údajů. Incidenty sahají od koordinovaných útoků jednotlivců, kteří kradou data pro osobní prospěch nebo ze zlého úmyslu (takzvané černé klobouky), organizovaného zločinu, politických aktivistů nebo národních vlád až po špatně nastavené zabezpečení systému nebo nedbalou likvidaci vysloužilého počítačového vybavení a médií pro ukládání dat. Uniklé informace mohou být záležitosti ohrožující národní bezpečnost nebo také informace o akcích, které vláda nebo úředník považuje za trapné a chce je utajit.
Data mohou zahrnovat finanční informace, jako jsou údaje o kreditních a debetních kartách, bankovní údaje, osobní zdravotní záznamy (PHI), osobní údaje (PII), obchodní tajemství korporací nebo duševní vlastnictví. Únik dat může být pro organizace poměrně nákladný s přímými (náprava, vyšetřování) i nepřímými náklady (škoda na dobré pověsti, poskytování kybernetické bezpečnosti obětem kompromitovaných dat atd.).
Mnoho států přijalo zákony o oznamování porušení dat, které vyžadují, aby společnost, ze které unikly osobní údaje, informovala své zákazníky a podnikla další kroky k nápravě možných škod. 50 států USA již má nějakou formu zákonů o oznamování narušení dat, definice toho, co představuje „osobní údaje“, se ale liší. USA tedy vyžadují transparentnější a komplexnější zákony na ochranu dat, zejména při měnících se státních zákonech a rostoucím množství shromažďovaných citlivých údajů.
Definice
Porušení ochrany dat může zahrnovat incidenty, jako je krádež nebo ztráta paměťových médií, jako jsou počítačové pásky, pevné disky nebo přenosné počítače s nešifrovanými informacemi, zveřejňování takových informací na internetu bez řádných opatření k zabezpečení informací, přenos takových informací do systému který sice není zcela otevřený, ale také není náležitě nebo formálně akreditován pro bezpečnost, jako je nešifrovaný e-mail nebo přenos takových informací do informačních systémů případné nepřátelské agentury, konkurenční korporace nebo cizí země, kde může být informace vystavena intenzivnějším dešifrovacím metodám.
ISO/IEC 27040 definuje únik dat jako: ohrožení bezpečnosti, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k chráněným údajům přenášeným, uloženým nebo jinak zpracovávaným.
Významné incidenty
V květnu roku 2013 ukradl Edward Snowden přibližně 1,7 milionu tajných záznamů z databáze Národní bezpečnostní agentury (NSA), během svého pracovního poměru u Ústřední zpravodajské služby (CIA) Spojených států.
V letech 2013 až 2016 přišel Yahoo kvůli útoku hackerů o osobní data z více než 3 miliard uživatelských účtů. Šlo o největší únik dat v historii. Z krádeže byli obvinění dva hackeři a dva příslušníci ruské tajné služby FSB.[1]
V roce 2014 došlo ke krádeži dat stovek milionů hotelových hostů sítě Starwood Hotels and Resorts Worldwide. Hotely v té době přecházely pod společnost Marriott International.[2]
V červenci 2015 do té doby neznámá skupina hackerů napadla seznamovací portál Ashley Madison, komerční webovou stránku pro lidi hledající mimomanželské poměry. Při Swiss Leaks unikly z banky HSBC informace o 106 000 klientech s celkovými vklady přes $100 miliard.
V letech 2015 až 20 společnosti Avast a Jumpshot prodávaly data o soukromí svých uživatelů. Úřad pro ochranu osobních údajů Avastu vyměřil stamilionovou pokutu, v Nizozemí se chystá hromadná žaloba.[3]
V dubnu 2016 přinesla zpravodajská média informace ukradené z úspěšného síťového útoku na středoamerickou právnickou firmu Mossack Fonseca a výsledné Panamské dokumenty rozšířily data po celém světě.[4]
V roce 2017 se do systému společnosti Equifax, která v USA spravuje registr dlužníků, díky bezpečnostní chybě nabourali hackeři a ukradli osobní údaje 143 milionů osob.[4]
V roce 2018 po skandálu kolem nakládání s údaji uživatelů Facebooku ukončila činnost britská poradenská společnost Cambridge Analytica.[4] V prosinci firma Quora oznámila, že byl objeven únik dat ovlivňující přibližně 100 milionů uživatelských účtů.
Roku 2021 došlo v USA k masivnímu úniku osobních dat klientů T-Mobile z důvodu hackerského útoku. Únik dat z Microsoft Exchange Server, únik dat z Epik, Pandora Papers.
Březen 2022: Anonymous vyzradili obsah databáze z Roskosmosu uprostřed ruské invaze na Ukrajinu v roce 2022. Červenec 2022: Únik šanghajské národní policejní databáze.
Březen 2023: Útok ransomwaru na společnost v Severním Irsku má za následek únik dat postihující charitativní organizace, včetně jedné, která podporuje dospělé osoby, které zažily zneužívání jako děti.
Prevence úniku dat
Účinnou prevencí je časté a pravidelné zálohování dat. Pomoci však může i software pro prevenci ztráty dat (DLP, z anglického Data Leak Prevention), který detekuje potenciální narušení dat/exfiltraci přenosů a předchází ztrátám za pomoci monitorování, zjišťováním a blokováním citlivých dat během používání (akce na koncových bodech), během pohybu (síťový provoz) a v klidu (ukládání dat). Pojmy „ztráta dat“ a „únik dat“ spolu souvisí a často se používají zaměnitelně.
Reference
V tomto článku byl použit překlad textu z článku Data breach na anglické Wikipedii. V tomto článku byl použit překlad textu z článku Data loss prevention software na anglické Wikipedii.
- ↑ Internetový portál Yahoo zaplatí odškodné 117,5 milionů dolarů za úniky dat, 4.6.2019
- ↑ Marriott obdržel pokutu ve výši 18,4 milionů liber za únik dat
- ↑ Avast prodával data o soukromí uživatelů. Úřad mu vyměřil stamilionovou pokutu, rozhodnutí však tají, září 2023
- ↑ a b c Lucie Kurdiovska: Největší úniky dat v moderní historii
Související články
- GDPR, Obecné nařízení o ochraně osobních údajů
- Zákon o zpracování osobních údajů
- Mystery shopping
- úplné odhalení
- Záchrana dat