Пробивът на South Staffordshire Water: Защо вашият VPN не можеше да помогне

Пробивът на South Staffordshire Water: Защо вашият VPN не можеше да помогне

Службата на информационния комисар на Великобритания (ICO) е глобила South Staffordshire Water с £963 900 (около 1,3 милиона долара) след кибератака, при която са изложени личните данни на над 663 000 клиенти и служители. Откраднатите данни бяха публикувани в тъмната мрежа, а ICO установи, че компанията е допуснала сериозни пропуски в практиките си за сигурност на данните. За стотиците хиляди засегнати хора не е имало нищо, което да са могли да направят, за да предотвратят това. Този случай е ясна илюстрация на ограниченията на VPN защитата при корпоративни пробиви на данни — нещо, за което потребителите, съзнаващи важността на личната си неприкосновеност, рядко чуват.

Какво се случи при пробива на South Staffordshire Water

South Staffordshire Water е доставчик на комунални услуги, обслужващ клиенти в английския Мидлендс. Като доставчик на вода, компанията съхранява клиентски данни, които жителите са законово задължени да предоставят, включително имена, адреси и информация за плащане — просто за да получат услугата.

Киберпрестъпници са получили неоторизиран достъп до системите на компанията и са изтекли голям обем лични записи. Откраднатите данни впоследствие са публикувани в тъмномрежови форуми, което означава, че са станали достъпни за всеки, готов да ги потърси. Разследването на ICO стигна до извода, че компанията не е въвела адекватни мерки за сигурност за защита на данните, които съхранява — именно затова е наложена глобата съгласно британското законодателство за защита на данните.

Мащабът е значителен: 663 000 лица са имали компрометирана информация без никаква тяхна вина. Те не са имали думата как компанията съхранява данните им, какви инструменти за сигурност е използвала или колко дълго е задържала техните записи.

Защо вашият VPN не можеше да ви защити тук

Това е едно от най-важните неща, които трябва да разберете за личните VPN мрежи: те защитават данните ви при пренос, тоест това, което напуска вашето устройство, докато сърфирате или комуникирате. Те не защитават данни, които трета страна вече съхранява на сървър някъде.

Когато се регистрирате при комунална компания, банка, личен лекар или услуга на местната власт, предавате лична информация, която се съхранява в базите данни на тази организация. От този момент нататък сигурността на вашите данни зависи изцяло от това колко добре тази организация управлява системите си, обучава персонала си и реагира на заплахи. VPN, работещ на вашия лаптоп или телефон, няма никаква връзка с нищо от това.

Това е едно от основните ограничения на VPN защитата при корпоративни пробиви на данни. VPN защитава вашата връзка; не може да защити нечия чужда база данни. Никой инструмент, достъпен за отделен потребител, не може да направи това. Дори перфектната лична хигиена в областта на киберсигурността — използване на VPN, силни пароли и многофакторно удостоверяване — ви оставя изложени на пробиви в организации, на които сте принудени да се доверявате с информацията си.

Какво разкрива глобата на ICO за провалите в корпоративната сигурност на данните

Глобата от £963 900 е значима, но си заслужава да бъде поставена в контекст. Разделена между 663 000 засегнати лица, тя се равнява на около £1,45 на човек. Тази цифра не отразява реалните разходи за тези хора, които може да се сблъскат с опити за фишинг, рискове от кражба на самоличност или продължаваща тревога относно това накъде са се озовали данните им.

Констатацията на ICO за сериозни пропуски в сигурността сочи към системен проблем: организациите, които събират големи обеми лични данни, не винаги третират тази отговорност сериозно, докато регулатор не наложи отчетност. По-специално за доставчиците на основни услуги клиентите нямат конкурентен изход. Не можете просто да откажете да дадете адреса си на водоснабдителната си компания.

Именно тук разбирането на политиките за съхранение на данни става наистина полезно. Съхранението на данни се отнася до това колко дълго една организация съхранява личната ви информация, преди да я изтрие. Компания, която пази клиентски записи от десетилетия без краен срок, създава много по-голяма цел от тази, която изтрива данните веднага щом те вече не са необходими. Случаят със South Staffordshire е напомняне, че колкото по-дълго данните стоят в система, толкова по-голямо е излагането на риск.

Как да проверите какви данни компаниите съхраняват за вас и да ограничите излагането си на риск

Въпреки че не можете напълно да се откажете от споделянето на данни с основни услуги, можете да предприемете стъпки за разбиране и намаляване на излагането си на риск.

Съгласно Великобританския GDPR, лицата имат правото да подадат Искане за достъп от субекта на данни (SAR) до всяка организация, която съхранява личните им данни. Това задължава организацията да ви съобщи какви данни съхранява, защо ги съхранява и колко дълго планира да ги запазва. Подаването на SAR до комунални дружества, финансови институции и други доставчици на основни услуги ви дава по-ясна представа за излагането ви на риск.

Можете също така да искате от организациите да изтрият данни, които вече не са необходими за целта, за която са били събрани, съгласно разпоредбите за „право на изтриване" в британското и европейското законодателство за защита на данните. Това не винаги е приложимо, особено когато съществуват законови изисквания за съхранение, но е механизъм, за който си струва да знаете.

За данните, върху които имате контрол — например това, което споделяте при регистрация за незадължителни услуги, приложения или програми за лоялност — важно е да бъдете целенасочени в това, което предоставяте. Използвайте вторичен имейл адрес, предоставяйте само минимално необходимата информация и проверявайте политиките за съхранение на данни, преди да предадете каквото и да е чувствително.

Накрая, следете дали вашият имейл адрес или други данни се появяват в известни бази данни с пробиви. Съществуват безплатни инструменти, които ви предупреждават, когато данните ви се появят в изтекли набори от данни, давайки ви ранно предупреждение да смените паролите и да бъдете нащрек срещу фишинг опити.

Какво означава това за вас

Пробивът на South Staffordshire Water не е изолиран случай. Комунални доставчици, здравни системи, местни власти и финансови институции — всички те съхраняват големи количества лични данни, и не всички от тях инвестират пропорционално в тяхната защита. Глобата на ICO сигнализира за регулаторно намерение, но глобите са реактивни, а не превантивни.

Като отделна личност, най-важната промяна, която можете да направите, е да осъзнаете докъде се простира вашият контрол. VPN е ценен инструмент за защита на това, което изпращате и получавате онлайн, но ограниченията на VPN защитата при корпоративни пробиви на данни са реални. Вашата сигурност е толкова силна, колкото е слабата най-уязвима база данни, съхраняваща вашето име.

Започнете, като подадете Искане за достъп от субекта на данни до компаниите, съхраняващи най-чувствителните ви данни, прочетете политиките за съхранение на услугите, за които се регистрирате, и останете бдителни към известия за пробиви. Разбирането кой съхранява вашите данни и за колко дълго е най-близкото до контрол, което повечето потребители могат реалистично да постигнат.