South Staffordshiren vesivuoto: Miksi VPN ei olisi voinut auttaa sinua

South Staffordshiren vesivuoto: Miksi VPN ei olisi voinut auttaa sinua

Yhdistyneen kuningaskunnan tietosuojaviranomainen (ICO) on sakottanut South Staffordshire Wateria 963 900 punnalla (noin 1,3 miljoonaa dollaria) kyberhyökkäyksen jälkeen, joka paljasti yli 663 000 asiakkaan ja työntekijän henkilötiedot. Varastetut tiedot julkaistiin pimeässä verkossa, ja ICO totesi, että yhtiöllä oli merkittäviä puutteita tietoturvakäytännöissään. Satoihin tuhansiin ihmisiin vaikuttaneelle tapaukselle ei olisi voitu tehdä mitään sen estämiseksi. Tämä tapaus on selkeä esimerkki yritysten tietomurtoihin liittyvistä VPN-suojauksen rajoituksista, joista tietosuojastaan tietoiset kuluttajat harvoin kuulevat.

Mitä South Staffordshire Waterin tietomurrossa tapahtui

South Staffordshire Water on vesihuoltoyhtiö, joka palvelee asiakkaita Englannin Midlandsin alueella. Vedenjakelijana sillä on hallussaan asiakastietoja, jotka asukkaiden on lain nojalla luovutettava — mukaan lukien nimet, osoitteet ja maksutiedot — pelkästään palvelun saamiseksi.

Kyberrikolliset saivat luvattoman pääsyn yhtiön järjestelmiin ja vievät suuren määrän henkilötietoja. Varastetut tiedot julkaistiin sen jälkeen pimeän verkon foorumeilla, mikä tarkoitti, että ne tulivat kaikkien niitä etsivien saataville. ICO:n tutkimus totesi, että yhtiö ei ollut toteuttanut riittäviä turvatoimia hallussaan pitämiensä tietojen suojaamiseksi, minkä vuoksi sakko annettiin Yhdistyneen kuningaskunnan tietosuojalain nojalla.

Laajuus on merkittävä: 663 000 henkilön tiedot vaarantuivat täysin heidän omasta syystään riippumatta. Heillä ei ollut sananvaltaa siihen, miten yhtiö tallensi heidän tietojaan, mitä turvatyökaluja se otti käyttöön tai kuinka kauan se säilytti heidän tietojaan.

Miksi VPN ei olisi voinut suojata sinua tässä tapauksessa

Tämä on yksi tärkeimmistä asioista, jotka on ymmärrettävä henkilökohtaisista VPN-palveluista: ne suojaavat tietojasi siirron aikana, eli sitä, mitä lähtee laitteeltasi selatessasi tai viestiessäsi. Ne eivät suojaa tietoja, joita kolmas osapuoli jo säilyttää jossain palvelimella.

Kun rekisteröidyt palveluntarjoajalle, pankille, lääkäriasemalle tai paikallishallinnon palveluun, luovutat henkilötietoja, jotka sijaitsevat kyseisen organisaation tietokannoissa. Siitä hetkestä eteenpäin tietojesi turvallisuus riippuu täysin siitä, kuinka hyvin kyseinen organisaatio hallinnoi järjestelmiään, kouluttaa henkilöstöään ja reagoi uhkiin. Kannettavallasi tai puhelimellasi toimivalla VPN:llä ei ole mitään yhteyttä mihinkään tästä.

Tämä on yksi yritysten tietomurtoihin liittyvien VPN-suojauksen rajoitusten keskeisistä tekijöistä. VPN suojaa yhteyden; se ei voi suojata jonkun muun tietokantaa. Mikään yksittäiselle kuluttajalle saatavilla oleva työkalu ei pysty siihen. Edes täydellinen henkilökohtainen kyberturvallisuushygienia — VPN:n käyttö, vahvat salasanat ja monivaiheinen tunnistautuminen — ei suojaa sinua organisaatioiden tietomurroilta, joihin sinun on pakko luottaa tietojesi kanssa.

Mitä ICO:n sakko paljastaa yritysten tietoturvaepäonnistumisista

963 900 punnan sakko on merkityksellinen, mutta sen asettaminen asiayhteyteen on tärkeää. Jaettuna 663 000 vaikutuksen kohteena olevan henkilön kesken se tekee noin 1,45 puntaa henkilöä kohden. Tämä luku ei heijasta näille henkilöille aiheutuneita todellisia kustannuksia, sillä he saattavat kohdata tietojenkalasteluyrityksiä, identiteettivarkauden riskejä tai jatkuvaa ahdistusta siitä, minne heidän tietonsa ovat päätyneet.

ICO:n havainto merkittävistä tietoturvaepäonnistumisista viittaa systeemiseen ongelmaan: organisaatiot, jotka keräävät suuria määriä henkilötietoja, eivät aina suhtaudu tähän vastuuseen vakavasti ennen kuin valvoja pakottaa vastuullisuuteen. Erityisesti välttämättömien palvelujen tarjoajien kohdalla asiakkailla ei ole kilpailullista vaihtoehtoa. Et yksinkertaisesti voi kieltäytyä antamasta osoitettasi vesiyhtiöllesi.

Tässä tietojen säilyttämistä koskevien käytäntöjen ymmärtäminen tulee todella hyödylliseksi. Tietojen säilyttämisellä tarkoitetaan sitä, kuinka kauan organisaatio säilyttää henkilötietojasi ennen niiden poistamista. Yhtiö, joka säilyttää vuosikymmenten asiakastietoja toistaiseksi, luo paljon suuremman kohteen kuin sellainen, joka poistaa tiedot heti kun niitä ei enää tarvita. South Staffordshiren tapaus muistuttaa siitä, että mitä kauemmin tiedot ovat järjestelmässä, sitä enemmän altistumista se luo.

Kuinka tarkistaa, mitä tietoja yritykset pitävät sinusta, ja rajoittaa altistumistasi

Vaikka et voi täysin kieltäytyä jakamasta tietoja välttämättömien palvelujen kanssa, voit ryhtyä toimiin ymmärtääksesi ja vähentääksesi altistumistasi.

Yhdistyneen kuningaskunnan GDPR:n nojalla henkilöillä on oikeus tehdä rekisteröidyn tietopyyntö (Subject Access Request, SAR) mille tahansa organisaatiolle, jolla on hallussaan heidän henkilötietojaan. Tämä edellyttää, että organisaatio kertoo sinulle, mitä tietoja sillä on hallussaan, miksi sillä on ne ja kuinka kauan se aikoo säilyttää ne. SAR-pyyntöjen tekeminen vesiyhtiöille, rahoituslaitoksille ja muille välttämättömien palvelujen tarjoajille antaa sinulle selkeämmän kuvan altistumisestasi.

Voit myös pyytää organisaatioita poistamaan tiedot, jotka eivät enää ole tarpeellisia siihen tarkoitukseen, johon ne kerättiin, Yhdistyneen kuningaskunnan ja EU:n tietosuojalain "oikeus tulla unohdetuksi" -säännösten nojalla. Tämä ei aina sovellu, erityisesti silloin kun lakisääteiset säilyttämisvaatimukset ovat voimassa, mutta se on vipuvarsi, josta kannattaa tietää.

Niiden tietojen osalta, joita hallitset itse — kuten mitä jaat rekisteröityessäsi valinnaisiin palveluihin, sovelluksiin tai kanta-asiakasohjelmiin — on tärkeää olla harkitseva sen suhteen, mitä tarjoat. Käytä toissijaista sähköpostiosoitetta, anna vain vaadittu vähimmäismäärä tietoja ja tarkista tietojen säilyttämistä koskevat käytännöt ennen kuin luovutat mitään arkaluonteista.

Valvo lopuksi, esiintyykö sähköpostiosoitteesi tai muut tietosi tunnetuissa tietomurtokannoissa. On olemassa ilmaisia työkaluja, jotka varoittavat sinua, kun tunnistetietosi ilmestyvät vuodettuihin tietoaineistoihin, antaen sinulle varhaisen varoituksen salasanojen vaihtamiseksi ja tietojenkalasteluyrityksiä vastaan varautumiseksi.

Mitä tämä tarkoittaa sinulle

South Staffordshire Waterin tietomurto ei ole poikkeustapaus. Vesiyhtiöt, terveydenhuoltojärjestelmät, paikalliset viranomaiset ja rahoituslaitokset hallitsevat kaikki suuria määriä henkilötietoja, eivätkä kaikki investoi niiden suojaamiseen suhteellisesti. ICO:n sakko viestii sääntelytahosta, mutta sakot ovat reaktiivisia, eivät ennaltaehkäiseviä.

Yksilönä tärkein muutos, jonka voit tehdä, on tunnistaa, missä kohtaa hallintasi loppuu. VPN on arvokas työkalu suojaamaan sitä, mitä lähetät ja vastaanotat verkossa, mutta yritysten tietomurtoihin liittyvät VPN-suojauksen rajoitukset ovat todellisia. Turvallisuutesi on vain niin vahva kuin heikoin tietokanta, jossa nimesi on tallennettuna.

Aloita tekemällä rekisteröidyn tietopyyntö yrityksille, joilla on hallussaan arkaluonteisimmat tietosi, lue niiden palvelujen säilyttämiskäytännöt, joihin rekisteröidyt, ja pysy valppaana tietomurtoilmoitusten suhteen. Ymmärtäminen siitä, kuka pitää hallussaan tietojasi ja kuinka kauan, on lähinnä sitä hallintaa, jonka useimmat kuluttajat voivat realistisesti saavuttaa.