Povreda podataka South Staffordshire Watera: Zašto vam VPN nije mogao pomoći

Povreda podataka South Staffordshire Watera: Zašto vam VPN nije mogao pomoći

Ured povjerenika za informacije Ujedinjenog Kraljevstva (ICO) kaznio je South Staffordshire Water s £963.900 (otprilike 1,3 milijuna dolara) nakon što je kibernetički napad izložio osobne podatke više od 663.000 korisnika i zaposlenika. Ukradeni podaci objavljeni su na dark webu, a ICO je utvrdio da je tvrtka imala značajne propuste u praksi zaštite podataka. Stotine tisuća pogođenih osoba nije moglo učiniti ništa kako bi to spriječilo. Ovaj slučaj jasno ilustrira ograničenja VPN zaštite od korporativnih povreda podataka o kojima potrošači svjesni privatnosti rijetko čuju.

Što se dogodilo u slučaju povrede podataka South Staffordshire Watera

South Staffordshire Water komunalni je davatelj usluga koji opslužuje korisnike diljem engleskog Midlandsa. Kao dobavljač vode, drži podatke o korisnicima koje su stanovnici zakonski obvezni dostaviti, uključujući imena, adrese i podatke o plaćanju, jednostavno kako bi primili uslugu.

Kibernetički kriminalci ostvarili su neovlašteni pristup sustavima tvrtke i izvukli veliku količinu osobnih zapisa. Ukradeni podaci zatim su objavljeni na dark web forumima, što znači da su postali dostupni svima koji su ih htjeli pronaći. Istraga ICO-a zaključila je da tvrtka nije provela odgovarajuće sigurnosne mjere za zaštitu podataka koje je čuvala, zbog čega je novčana kazna izrečena prema zakonu o zaštiti podataka Ujedinjenog Kraljevstva.

Razmjeri su značajni: podaci 663.000 pojedinaca kompromitovani su bez ikakve njihove krivice. Nisu imali nikakav utjecaj na to kako je tvrtka pohranjivala njihove podatke, koje je sigurnosne alate primjenjivala ili koliko dugo je čuvala njihove zapise.

Zašto vam VPN nije mogao pružiti zaštitu u ovom slučaju

Ovo je jedna od najvažnijih stvari koje treba razumjeti o osobnim VPN-ovima: štite vaše podatke u prijenosu, odnosno ono što napušta vaš uređaj dok pretražujete ili komunicirate. Ne štite podatke koje treća strana već čuva negdje na poslužitelju.

Kada se prijavite za komunalnu uslugu, banku, liječničku ordinaciju ili uslugu lokalne uprave, predajete osobne podatke koji se pohranjuju u baze podataka te organizacije. Od tog trenutka, sigurnost vaših podataka u potpunosti ovisi o tome koliko dobro ta organizacija upravlja svojim sustavima, educira zaposlenike i odgovara na prijetnje. VPN koji radi na vašem prijenosnom računalu ili telefonu nema nikakve veze s tim.

Ovo je jedno od temeljnih ograničenja VPN zaštite od korporativnih povreda podataka. VPN osigurava vašu vezu; ne može osigurati tuđu bazu podataka. Nijedan alat dostupan individualnom potrošaču to ne može. Čak ni savršena osobna kibernetička higijena — korištenje VPN-a, jakih lozinki i višefaktorske autentifikacije — ne štiti vas od povreda u organizacijama kojima ste prisiljeni povjeriti svoje podatke.

Što nam novčana kazna ICO-a otkriva o propustima u korporativnoj sigurnosti podataka

Novčana kazna od £963.900 je značajna, ali vrijedi je staviti u kontekst. Podijeljena na 663.000 pogođenih pojedinaca, iznosi otprilike £1,45 po osobi. Taj broj ne odražava stvarne troškove za te osobe, koje mogu biti suočene s pokušajima krađe identiteta putem phishinga, rizicima od krađe identiteta ili trajnom zabrinutošću o tome gdje su završili njihovi podaci.

ICO-ov nalaz o značajnim sigurnosnim propustima ukazuje na sustavni problem: organizacije koje prikupljaju velike količine osobnih podataka ne tretiraju uvijek tu odgovornost ozbiljno dok ih regulator ne prisili na odgovornost. Posebno za davatelje osnovnih usluga, korisnici nemaju konkurentskog izlaza. Jednostavno ne možete odbiti dati svoju adresu komunalnoj tvrtki za vodu.

Upravo ovdje razumijevanje politika zadržavanja podataka postaje stvarno korisno. Zadržavanje podataka odnosi se na to koliko dugo organizacija pohranjuje vaše osobne podatke prije nego što ih izbriše. Tvrtka koja neograničeno čuva desetljeća korisničkih zapisa stvara znatno veću metu od one koja briše podatke čim više nisu potrebni. Slučaj South Staffordshire podsjetnik je da što dulje podaci sjede u sustavu, to veću izloženost stvaraju.

Kako provjeriti koje podatke tvrtke o vama posjeduju i smanjiti svoju izloženost

Iako se ne možete potpuno izuzeti od dijeljenja podataka s osnovnim uslugama, možete poduzeti korake kako biste razumjeli i smanjili svoju izloženost.

Prema UK GDPR-u, pojedinci imaju pravo podnijeti Zahtjev za pristup podacima (SAR) bilo kojoj organizaciji koja drži njihove osobne podatke. To zahtijeva od organizacije da vam kaže koje podatke čuva, zašto ih čuva i koliko dugo planira to činiti. Podnošenje zahtjeva SAR komunalnim tvrtkama, financijskim institucijama i drugim davateljima osnovnih usluga daje vam jasniju sliku vaše izloženosti.

Također možete zatražiti od organizacija da izbrišu podatke koji više nisu potrebni za svrhu zbog koje su prikupljeni, prema odredbama o "pravu na brisanje" u zakonima o zaštiti podataka Ujedinjenog Kraljevstva i EU-a. Ovo se ne primjenjuje uvijek, posebno kada postoje zakonski zahtjevi za čuvanjem podataka, ali vrijedi znati za tu mogućnost.

Za podatke kojima upravljate, poput onih koje dijelite pri prijavi za neobavezne usluge, aplikacije ili programe vjernosti, važno je biti namjeran u pogledu toga što pružate. Koristite sekundarnu adresu e-pošte, navedite samo minimalne potrebne podatke i provjerite politike zadržavanja podataka prije nego što predate bilo što osjetljivo.

Konačno, pratite pojavljuju li se vaša adresa e-pošte ili drugi podaci u poznatim bazama podataka o povredama. Postoje besplatni alati koji vas upozoravaju kada vaše vjerodajnice izađu na vidjelo u procurelim skupovima podataka, dajući vam rano upozorenje za promjenu lozinki i oprez prema phishing pokušajima.

Što to znači za vas

Povreda podataka South Staffordshire Watera nije iznimka. Komunalne tvrtke, zdravstveni sustavi, lokalne vlasti i financijske institucije sve drže velike količine osobnih podataka, i ne ulažu sve proporcionalno u njihovu zaštitu. Novčana kazna ICO-a signalizira regulatornu namjeru, ali kazne su reaktivne, ne preventivne.

Kao pojedinac, najvažnija promjena koju možete napraviti jest prepoznati gdje vaša kontrola završava. VPN je vrijedan alat za zaštitu onoga što šaljete i primate na mreži, ali ograničenja VPN zaštite od korporativnih povreda podataka su stvarna. Vaša je sigurnost jaka onoliko koliko je jaka najslabija baza podataka koja čuva vaše ime.

Počnite podnošenjem Zahtjeva za pristup podacima tvrtkama koje drže vaše najosjetljivije podatke, čitajte politike zadržavanja usluga za koje se prijavljujete i budite pozorni na obavijesti o povredama. Razumijevanje tko drži vaše podatke i koliko dugo, najbliže je kontroli što je većina potrošača može realno postići.