Mitä henkilötietoja London Hydron tietomurrossa paljastui?

Tietomurto on saattanut vaarantaa asiakkaiden nimet, kotiosoitteet ja tilitiedot.

Selittikö London Hydro, miten tietomurto tapahtui?

Ei, sähköyhtiö ei ole vahvistanut hyökkäysvektoria, joten tunkeutumistapa on tuntematon.

Kuinka monta asiakasta London Hydron tietomurto koskee?

London Hydro ei ole ilmoittanut niiden henkilöiden määrää, joiden tiedot ovat saattaneet paljastua.

Miksi sähköyhtiöt ovat houkuttelevia kohteita verkkorikollisille?

Sähköyhtiöt hallussaan pitävät arkaluonteisia henkilö- ja taloustietoja asiakkaista, jotka eivät helposti voi lähteä, ja ne nojaavat usein vanhaan infrastruktuuriin, jonka tietoturva on heikompi.

Ovatko muut kanadalaiset sähköyhtiöt kokeneet vastaavia tietomurtoja?

Kyllä, Nova Scotia Power kärsi tietomurrosta, joka paljasti noin 915 000 nykyisen ja entisen asiakkaan tiedot työntekijän napsautettua haitallista ponnahdusikkunaa.

London Hydron tietomurto paljasti asiakkaiden tietoja

Kanadalainen sähköyhtiö on myöntänyt tietomurron, joka on saattanut vaarantaa asiakkaiden nimiä, osoitteita ja tilitietoja, mutta yhtiö on antanut vain vähän selvyttä siitä, miten tunkeutuminen tapahtui, kuinka monta ihmistä siihen joutui tai kuinka kauan hyökkääjillä on saattanut olla pääsy. London Hydro, joka palvelee Ontarion Londonin kaupunkia, vahvisti tapauksen mutta jätti useita kriittisiä kysymyksiä vastaamatta, mikä herättää huolta läpinäkyvyysvaatimuksista silloin, kun kriittisten palvelujen tarjoajat käsittelevät arkaluonteisia henkilötietoja.

Miksi sähköyhtiöt ovat helppoja kohteita verkkorikollisille

Sähköyhtiöt ovat kyberturvallisuuden maailmassa tukalassa asemassa. Ne hallussaan pitävät suuria määriä henkilö- ja taloustietoja asiakkaista, joilla ei ole käytännössä muuta mahdollisuutta kuin asioida niiden kanssa. Toisin kuin vähittäiskauppasovelluksesta tai suoratoistopalvelusta, asiakkaat eivät voi yksinkertaisesti poistaa tiliään ja kävellä pois paikalliselta sähköntoimittajalta.

Tämä pakotettu asiakkuus luo dataa sisältävän ympäristön, jonka hyökkääjät kokevat houkuttelevaksi. Sähköyhtiöt keräävät kotiosoitteita, laskutushistorioita, maksutietoja ja joissakin tapauksissa käyttötottumuksia, jotka voivat paljastaa, milloin asunto on käytössä. Tämä yhdistelmä henkilökohtaisesti tunnistettavia tietoja ja käyttäytymisdataa on arvokasta petoksia, sosiaalista manipulointia ja identiteettivarkauksia varten.

Operatiiviset vaatimukset ovat myös vahvaa tietoturva-asennetta vastaan. Monien sähköyhtiöiden verkot nojaavat vanhaan infrastruktuuriin, jota ei koskaan suunniteltu nykyaikaista kyberturvallisuutta silmällä pitäen. Järjestelmien päivittäminen tai infrastruktuurin ottaminen pois käytöstä tietoturvapäivityksiä varten voi olla suorassa ristiriidassa sähköjen pitämisen velvoitteen kanssa. Tuloksena on toimiala, jolla on arvokas datakuorma mutta joka joskus laahaa jäljessä niissä turvatoimissa, jotka muilla aloilla ovat jo vakiintuneet.

Ongelma ei koske vain London Hydroa. Eräässä huomattavassa kanadalaisessa esimerkissä Nova Scotia Power kärsi tietomurrosta, joka paljasti noin 915 000 nykyisen ja entisen asiakkaan henkilötiedot, kun yksi työntekijä vuorovaikutti haitallisen ponnahdusikkunan kanssa. Tuo tapaus osoittaa, miten yksittäinen vikakohta suuren sähköyhtiön sisällä voi vyöryä merkittäväksi yksityisyyttä koskevaksi tapahtumaksi, joka vaikuttaa lähes miljoonaan ihmiseen.

Mitä London Hydro on paljastanut – ja mitä ei – tietomurrosta

London Hydron julkinen lausunto vahvisti, että nimiä, kotiosoitteita ja tilitietoja on saattanut paljastua tunkeutumisen aikana. Sen jälkeen tiedottaminen onkin niukkaa. Yhtiö ei ole vahvistanut hyökkäysvektoria, eli se ei ole kertonut, liittyikö tietomurto tietojenkalasteluun, ulospäin näkyvien järjestelmien haavoittuvuuteen, kiristyshaittaohjelmaan vai aivan muuhun menetelmään.

Tunkeutumisen aikajana on myös epäselvä. Asiakkaille ei ole kerrottu, milloin tietomurto alkoi, milloin se havaittiin tai kuinka pitkä aika näiden kahden tapahtuman välillä oli. Tuo aikaikkuna on tärkeä, koska se määrittää, kuinka kauan hyökkääjillä oli aikaa kerätä, kopioida tai aseellistaa se, mihin he pääsivät käsiksi.

Näiden yksityiskohtien puuttuminen turhauttaa asiakkaita, jotka yrittävät arvioida henkilökohtaista riskiään, ja se heijastaa laajempaa kaavaa sähköyhtiöiden tietomurtoilmoituksissa. Kanadan sääntelyviranomaiset vaativat ilmoittamista tietomurroista, jotka aiheuttavat todellisen riskin merkittävästä vahingosta henkilötietojen suojaa ja sähköisiä asiakirjoja koskevan lain (PIPEDA) nojalla, mutta laki asettaa vain vähimmäistason ilmoittamiselle, ei ylärajaa. Yritykset voivat teknisesti noudattaa lakia ja silti pidättää yksityiskohtia, jotka auttaisivat vaikutuksen kohteena olevia henkilöitä tekemään tietoisia päätöksiä.

Keitä tämä koskee ja mitkä tiedot voivat olla vaarassa

London Hydro palvelee kotitalous- ja yritysasiakkaita Ontario-osavaltion Londonissa. Vaikka yhtiö ei ole ilmoittanut tarkkaa määrää vaikutuksen kohteena olevista tileistä, mikä tahansa tietomurto, johon liittyy nimiä, osoitteita ja tilitietoja, luo merkittävän altistuksen tietokannassa oleville ihmisille.

Kotiosoitteen ja tilinumeron yhdistelmä on vaarallisempi kuin kumpikaan tieto yksinään. Petkuttajat voivat käyttää tilitietoja esiintyäkseen asiakkaina ottaessaan yhteyttä sähköyhtiöön, mahdollisesti uudelleenohjaten laskutusviestintää tai tehtaillen vilpillisiä palvelupyyntöjä. Kotiosoitteet yhdistettynä nimiin voidaan ristiinviitata muiden vuotaneiden tietokantojen kanssa täydempien profiilien luomiseksi, jotka soveltuvat kohdennettuun tietojenkalasteluun tai fyysisiin petoksiin.

Jos maksutiedot olivat osa paljastuneita tietoja, riski kasvaa entisestään. Tätä kirjoitettaessa London Hydro ei ollut vahvistanut, olivatko taloustiedot, kuten pankkitiedot tai luottokorttinumerot, osa tietovuotoa, mikä itsessään on merkittävä aukko tiedottamisessa.

Kuinka suojautua, kun sähköyhtiösi joutuu tietomurtoon

Kun sähköyhtiön tietomurto tapahtuu, asiakkailla on rajallinen vaikutusvalta, mutta useita käytännön keinoja vähentää myöhempiä haittoja.

Tarkista tilisi epätavallisen toiminnan varalta. Kirjaudu London Hydro -tilillesi ja tarkista viimeisimmät laskutustiedot ja yhteystiedot. Jos osoitettasi tai yhteystietojasi on muutettu ilman tietämystäsi, ilmoita siitä yhtiölle välittömästi.

Aseta petosvaroitus tai luottotietojen jäädytys. Kanadassa voit ottaa yhteyttä Equifax Kanadaan tai TransUnion Kanadaan asettaaksesi petosvaroituksen luottotietoihisi. Luottotietojen jäädytys menee pidemmälle rajoittaen uusia luottohakemuksia, kunnes peruutat sen. Kumpikaan ei maksa mitään, ja molemmat voivat estää identiteettivarkaita avaamasta uusia tilejä nimissäsi.

Varo seurannaiskalastelua. Murretut tiedot päätyvät usein tietojenkalastelijoille, jotka laativat vakuuttavia viestejä, joissa esiinnytään sähköyhtiönä. Suhtaudu epäilevästi mihin tahansa sähköpostiin, tekstiviestiin tai puheluun, jossa väitetään olevan London Hydrosta ja pyydetään vahvistamaan tilitietoja tai napsauttamaan linkkiä.

Käytä yksilöllistä sähköpostiosoitetta sähköyhtiö tileille. Jos käytät samaa sähköpostia useissa palveluissa, tietomurto yhdellä palveluntarjoajalla voi tehdä sinusta haavoittuvaisemman muualla. Käytä mahdollisuuksien mukaan erillistä sähköpostiosoitetta sähköyhtiön tilejä varten, jotta tunnusten täyttöhyökkäyksillä on vähemmän pinta-alaa toimia.

Seuraa luottotietojasi säännöllisesti. Molemmat suuret kanadalaiset luottotietotoimistot tarjoavat maksuttoman pääsyn luottotietoihisi. Niiden säännöllinen tarkistaminen auttaa havaitsemaan merkkejä identiteettipetoksesta varhain, jolloin ne on helpompi selvittää.

London Hydron tietomurto on muistutus siitä, että organisaatiot, jotka hallussa pitävät tärkeimpiä henkilötietojamme, eivät aina ole kaikkein avoimimpia asioiden mennessä pieleen. Asiakkaat ansaitsevat selkeämpiä ilmoituksia, nopeampia aikatauluja ja enemmän toteuttamiskelpoista tietoa, kun heidän tietonsa ovat vaarassa. Ennen kuin sääntelyvaatimukset saavuttavat tuon odotuksen, suojautumisen taakka lankeaa kohtuuttomasti vaikutuksen kohteena oleville yksilöille. Jo muutaman edellä mainitun toimenpiteen toteuttaminen voi merkittävästi kaventaa mahdollisuuksien ikkunaa kenelle tahansa, joka on saattanut päästä käsiksi tietoihisi.