Únik dat South Staffordshire Water: Proč by vám VPN nepomohla

Únik dat South Staffordshire Water: Proč by vám VPN nepomohla

Britský Úřad komisaře pro informace (ICO) uložil společnosti South Staffordshire Water pokutu £963 900 (přibližně 1,3 milionu dolarů) poté, co kybernetický útok odhalil osobní údaje více než 663 000 zákazníků a zaměstnanců. Ukradená data byla zveřejněna na dark webu a ICO zjistil, že společnost měla závažná pochybení v oblasti zabezpečení dat. Stovky tisíc postižených lidí nemohly udělat nic, aby tomu zabránily. Tento případ jasně ilustruje omezení ochrany VPN při úniku firemních dat, o nichž spotřebitelé dbající na soukromí málokdy slyší.

Co se stalo při úniku dat South Staffordshire Water

South Staffordshire Water je poskytovatel veřejných služeb obsluhující zákazníky ve středoanglickém regionu Midlands. Jako dodavatel vody uchovává zákaznická data, která jsou obyvatelé ze zákona povinni poskytnout – včetně jmen, adres a platebních informací – pouze proto, aby mohli využívat jeho služby.

Kyberzločinci získali neoprávněný přístup do systémů společnosti a odcizili velký objem osobních záznamů. Ukradená data byla následně zveřejněna na fórech dark webu, čímž se stala přístupná komukoli, kdo je byl ochoten vyhledat. Šetření ICO dospělo k závěru, že společnost nezavedla dostatečná bezpečnostní opatření na ochranu dat, která uchovávala, a proto byla pokuta udělena na základě britského zákona o ochraně osobních údajů.

Rozsah je značný: osobní údaje 663 000 osob byly kompromitovány bez jejich jakéhokoli zavinění. Tyto osoby neměly žádný vliv na to, jak společnost jejich data ukládala, jaké bezpečnostní nástroje nasazovala ani jak dlouho jejich záznamy uchovávala.

Proč by vás VPN v tomto případě nemohla chránit

To je jedna z nejdůležitějších věcí, které je třeba o osobních VPN pochopit: chrání vaše data při přenosu, tedy to, co opouští vaše zařízení při prohlížení internetu nebo komunikaci. Nechrání data, která třetí strana již uchovává na některém ze svých serverů.

Když se zaregistrujete u poskytovatele veřejných služeb, banky, ordinace praktického lékaře nebo místního úřadu, předáte jim osobní informace, které jsou uloženy v databázích dané organizace. Od té chvíle závisí zabezpečení vašich dat zcela na tom, jak dobře daná organizace spravuje své systémy, školí zaměstnance a reaguje na hrozby. VPN běžící na vašem laptopu nebo telefonu s tím nemá vůbec nic společného.

To je jedno ze základních omezení ochrany VPN při úniku firemních dat. VPN zabezpečuje vaše připojení; nemůže zabezpečit cizí databázi. Žádný nástroj dostupný běžnému spotřebiteli to nedokáže. Ani dokonalá osobní kybernetická hygiena – používání VPN, silných hesel a vícefaktorové autentizace – vás neochrání před úniky dat u organizací, kterým jste nuceni svěřit své informace.

Co pokuta ICO odhaluje o selhání firemního zabezpečení dat

Pokuta £963 900 je významná, ale stojí za to zasadit ji do kontextu. Rozdělena mezi 663 000 postižených osob vychází přibližně na £1,45 na osobu. Tato částka neodráží skutečné náklady pro tyto osoby, které mohou čelit phishingovým pokusům, riziku krádeže identity nebo přetrvávající úzkosti ohledně toho, kde jejich data skončila.

Zjištění ICO o závažných bezpečnostních selháních poukazuje na systémový problém: organizace, které shromažďují velké množství osobních dat, ne vždy zacházejí s touto odpovědností vážně, dokud je k tomu regulátor nepřinutí. Zejména u poskytovatelů základních služeb nemají zákazníci žádnou konkurenční alternativu. Svou adresu vodárenské společnosti jednoduše odmítnout poskytnout nelze.

Zde se stává skutečně užitečným pochopení zásad uchovávání dat. Uchovávání dat označuje dobu, po kterou organizace uchovává vaše osobní informace před jejich vymazáním. Společnost, která uchovává záznamy zákazníků po desetiletí bez omezení, představuje mnohem větší cíl než ta, která data maže, jakmile již nejsou potřebná. Případ South Staffordshire je připomínkou toho, že čím déle data v systému leží, tím větší riziko představují.

Jak zjistit, jaká data o vás firmy uchovávají, a omezit své riziko

I když se nelze zcela vyhnout sdílení dat se základními službami, můžete podniknout kroky ke zjištění a snížení svého rizika.

Podle britského GDPR mají jednotlivci právo podat Žádost o přístup k osobním údajům (SAR) jakékoli organizaci, která uchovává jejich osobní data. Tím se organizace zavazuje sdělit vám, jaká data o vás má, proč je uchovává a jak dlouho je hodlá uchovat. Podání žádostí SAR poskytovatelům veřejných služeb, finančním institucím a dalším poskytovatelům základních služeb vám poskytne jasnější přehled o vašem riziku.

Můžete také organizacím požádat o vymazání dat, která již nejsou potřebná pro účel, pro nějž byla shromážděna, na základě ustanovení o „právu na výmaz" v britském a evropském právu na ochranu osobních údajů. Toto právo se nevztahuje na všechny případy, zejména tam, kde existují zákonné požadavky na uchovávání dat, ale stojí za to o něm vědět.

U dat, která kontrolujete – například co sdílíte při registraci k volitelným službám, aplikacím nebo věrnostním programům – záleží na tom, jak obezřetně sdílíte informace. Používejte sekundární e-mailovou adresu, poskytujte pouze minimum požadovaných informací a před předáním jakýchkoli citlivých údajů si prostudujte zásady uchovávání dat.

Nakonec sledujte, zda se vaše e-mailová adresa nebo jiné údaje neobjevují v databázích známých úniků. Existují bezplatné nástroje, které vás upozorní, když se vaše přihlašovací údaje objeví v uniklých datových sadách, a poskytnou vám včasné varování ke změně hesel a zvýšené ostražitosti vůči phishingovým pokusům.

Co to pro vás znamená

Únik dat South Staffordshire Water není výjimkou. Poskytovatelé veřejných služeb, zdravotnické systémy, místní úřady a finanční instituce všichni uchovávají velké množství osobních dat a ne všichni do jejich ochrany investují přiměřeně. Pokuta ICO signalizuje záměr regulátora, ale pokuty jsou reaktivní, nikoli preventivní.

Jako jednotlivec je nejdůležitější změnou uvědomit si, kde vaše kontrola končí. VPN je cenný nástroj pro ochranu toho, co online odesíláte a přijímáte, ale omezení ochrany VPN při úniku firemních dat jsou reálná. Vaše bezpečnost je pouze tak silná, jak silná je nejslabší databáze, která uchovává vaše jméno.

Začněte tím, že podáte Žádost o přístup k osobním údajům u společností, které uchovávají vaše nejcitlivější data, přečtěte si zásady uchovávání dat služeb, k nimž se přihlašujete, a buďte ostražití vůči oznámením o únicích. Porozumění tomu, kdo vaše data uchovává a jak dlouho, je tou nejbližší formou kontroly, které může většina spotřebitelů realisticky dosáhnout.