South Staffordshire Water adatszivárgás: Miért nem segíthetett volna a VPN-ed

South Staffordshire Water adatszivárgás: Miért nem segíthetett volna a VPN-ed

Az Egyesült Királyság Információs Biztosi Hivatala (ICO) 963 900 font (nagyjából 1,3 millió dollár) bírságot szabott ki a South Staffordshire Water vállalatra, miután egy kibertámadás során több mint 663 000 ügyfél és alkalmazott személyes adatai kerültek illetéktelen kezekbe. Az ellopott adatokat a dark weben tették közzé, az ICO pedig megállapította, hogy a vállalat adatbiztonsági gyakorlatában súlyos hiányosságok mutatkoztak. Az érintett több százezer ember semmit sem tehetett volna az eset megelőzéséért. Ez az ügy szemléletes példája annak, hogy a vállalati adatszivárgással szemben a VPN-védelem milyen korlátokkal rendelkezik – amit az adatvédelmet komolyan vevő felhasználók ritkán hallanak.

Mi történt a South Staffordshire Water adatszivárgás során

A South Staffordshire Water egy közüzemi szolgáltató, amely az angliai Midlands-régióban lát el ügyfeleket. Vízszolgáltatóként olyan ügyféladatokat tárol, amelyeket a lakosok törvényileg kötelesek megadni – például neveket, lakcímeket és fizetési adatokat –, egyszerűen azért, hogy igénybe vehessék a szolgáltatást.

Kiberbűnözők jogosulatlanul hozzáfértek a vállalat rendszereihez, és nagy mennyiségű személyes adatot szivárogtattak ki. Az ellopott adatokat ezt követően dark webes fórumokon tették közzé, ami azt jelenti, hogy bárki számára elérhetővé váltak, aki kereste őket. Az ICO vizsgálata megállapította, hogy a vállalat nem alkalmazott megfelelő biztonsági intézkedéseket a birtokában lévő adatok védelmére, ezért szabták ki a bírságot az egyesült királyságbeli adatvédelmi jog alapján.

A kár mértéke jelentős: 663 000 személy adatai sérültek saját hibájukon kívül. Nem volt beleszólásuk abba, hogyan tárolja a vállalat az adataikat, milyen biztonsági eszközöket alkalmaz, vagy mennyi ideig őrzi meg a nyilvántartásaikat.

Miért nem védhette volna meg a VPN-ed ezzel szemben

Ez az egyik legfontosabb dolog, amit a személyes VPN-ekről tudni érdemes: az adatátvitel során védi az adataidat, vagyis azt, ami az eszközödről kikerül böngészés vagy kommunikáció közben. Nem védi azonban azokat az adatokat, amelyeket egy harmadik fél már tárol valahol egy szerveren.

Amikor feliratkozol egy közüzemi szolgáltatóhoz, bankhoz, háziorvosi rendelőhöz vagy önkormányzati szolgáltatáshoz, személyes adatokat adsz meg, amelyek az adott szervezet adatbázisában tárolódnak. Ettől kezdve az adataid biztonsága teljes mértékben attól függ, hogy az adott szervezet mennyire gondosan kezeli rendszereit, hogyan képezi munkatársait, és miként reagál a fenyegetésekre. A laptopodon vagy telefonodon futó VPN-nek ehhez semmi köze nincs.

Ez az egyik alapvető korlátja annak, hogy a VPN-ek mennyiben védenek a vállalati adatszivárgásokkal szemben. A VPN a kapcsolatodat védi; valaki más adatbázisát nem tudja megóvni. Egyetlen, egyéni fogyasztók számára elérhető eszköz sem képes erre. Még a tökéletes személyes kiberhigiénia – VPN használata, erős jelszavak és többtényezős hitelesítés – sem nyújt védelmet olyan szervezetek általi adatszivárgással szemben, amelyekre rá vagy kényszerülve bízni az adataidat.

Mit árul el az ICO-bírság a vállalati adatbiztonsági hiányosságokról

A 963 900 fontos bírság figyelemre méltó, de érdemes kontextusba helyezni. 663 000 érintett személyre elosztva fejenként nagyjából 1,45 fontot tesz ki. Ez a szám nem tükrözi az érintett személyek valós kárát, akiknek adathalász kísérletekkel, személyazonosság-lopás kockázatával vagy azzal az állandó szorongással kell szembenézniük, hogy nem tudják, hová kerültek az adataik.

Az ICO által megállapított súlyos biztonsági hiányosságok egy rendszerszintű problémára mutatnak rá: a nagy mennyiségű személyes adatot gyűjtő szervezetek nem minden esetben kezelik komolyan ezt a felelősséget, amíg egy szabályozó hatóság nem kényszeríti ki az elszámoltathatóságot. Különösen az alapvető szolgáltatók esetén az ügyfeleknek nincs versenyalapú mozgásterük. Egyszerűen nem tagadhatod meg, hogy megadd a lakcímed a vízszolgáltató vállalatnak.

Ezen a ponton válik igazán hasznossá az adatmegőrzési irányelvek ismerete. Az adatmegőrzés arra vonatkozik, hogy egy szervezet mennyi ideig tárolja személyes adataidat a törlés előtt. Egy vállalat, amely évtizedekig megőrzi az ügyféladatokat, sokkal nagyobb célpontot jelent, mint egy olyan, amely azonnal törli az adatokat, amint azokra már nincs szükség. A South Staffordshire-ügy emlékeztet arra, hogy minél tovább maradnak az adatok egy rendszerben, annál nagyobb kockázatot hordoznak.

Hogyan ellenőrizd, hogy a vállalatok milyen adatokat tárolnak rólad, és csökkentsd a kitettségedet

Bár az alapvető szolgáltatókkal való adatmegosztásból nem tudsz teljesen kilépni, tehetsz lépéseket kitettséged megértése és csökkentése érdekében.

Az egyesült királyságbeli GDPR alapján az egyéneknek joguk van Érintetti Hozzáférési Kérelmet (Subject Access Request, SAR) benyújtani bármely szervezethez, amely személyes adataikat tárolja. Ez kötelezi a szervezetet arra, hogy tájékoztasson arról, milyen adatokat tárol rólad, miért tárolja azokat, és meddig tervezi megőrizni. SAR-ok benyújtása a közüzemi szolgáltatókhoz, pénzügyi intézményekhez és más alapvető szolgáltatókhoz világosabb képet ad kitettségedről.

A „törléshez való jog" rendelkezései alapján – az egyesült királyságbeli és az uniós adatvédelmi jogban – kérheted a szervezetektől azoknak az adatoknak a törlését, amelyekre már nincs szükség a gyűjtés eredeti céljából. Ez nem minden esetben alkalmazható, különösen ott, ahol törvényi megőrzési követelmények érvényesek, de érdemes tudni erről a lehetőségről.

Az általad ténylegesen ellenőrzött adatok esetében – például amikor opcionális szolgáltatásokra, alkalmazásokra vagy hűségprogramokra iratkozol fel – fontos, hogy tudatosan kezeld, mit adsz meg. Használj másodlagos e-mail-címet, csak a minimálisan szükséges adatokat add meg, és az érzékeny információk megadása előtt tekintsd meg az adatmegőrzési irányelveket.

Végül figyeld, hogy az e-mail-címed vagy egyéb adataid megjelennek-e az ismert adatszivárgási adatbázisokban. Ingyenes eszközök léteznek, amelyek értesítenek, ha a hitelesítő adataid kiszivárgott adatkészletekben bukkannak fel, így korai figyelmeztetést kapsz arra, hogy jelszót válts, és éber maradj az adathalász kísérletekkel szemben.

Mit jelent ez számodra

A South Staffordshire Water adatszivárgása nem kivételes eset. A közüzemi szolgáltatók, egészségügyi rendszerek, önkormányzatok és pénzügyi intézmények mind nagy mennyiségű személyes adatot tárolnak, és nem mindegyikük fektet arányos összeget azok védelmére. Az ICO-bírság a szabályozói szándék jelzése, de a bírságok reaktívak, nem megelőzők.

Egyénileg a legfontosabb szemléletváltás, amit megtehetsz, annak felismerése, hogy hol ér véget az irányításod. A VPN értékes eszköz annak védelmére, amit online küldöl és fogadsz, de a vállalati adatszivárgásokkal szembeni VPN-védelem korlátai valósak. A biztonságod csak annyira erős, mint a leggyengébb adatbázis, amely tárolja a nevedet.

Kezdd azzal, hogy Érintetti Hozzáférési Kérelmet nyújtasz be azokhoz a vállalatokhoz, amelyek a legérzékenyebb adataidat tárolják, olvasd el a feliratkozott szolgáltatások adatmegőrzési irányelveit, és maradj éber az adatszivárgási értesítésekkel kapcsolatban. Annak megértése, hogy ki tárolja az adataidat – és mennyi ideig –, a legközelebb áll ahhoz a mértékű irányításhoz, amelyet a legtöbb fogyasztó reálisan elérhet.