Витік даних South Staffordshire Water: чому VPN не міг вам допомогти

Витік даних South Staffordshire Water: чому VPN не міг вам допомогти

Управління уповноваженого з інформації Великої Британії (ICO) оштрафувало South Staffordshire Water на £963 900 (приблизно 1,3 мільйона доларів) після кібератаки, яка розкрила персональні дані понад 663 000 клієнтів та працівників. Викрадені дані були опубліковані в темній мережі, а ICO встановило, що компанія допустила серйозні недоліки у своїх практиках захисту даних. Сотні тисяч постраждалих людей нічого не могли зробити, щоб це запобігти. Цей випадок є наочною ілюстрацією обмежень VPN щодо захисту від корпоративних витоків даних, про які споживачі, які дбають про конфіденційність, рідко чують.

Що сталося під час витоку даних South Staffordshire Water

South Staffordshire Water — комунальна компанія, що обслуговує клієнтів по всьому центральному регіону Англії. Як постачальник водопостачання, вона зберігає дані клієнтів, які мешканці зобов'язані надавати за законом, включно з іменами, адресами та платіжною інформацією, просто щоб отримати послугу.

Кіберзлочинці отримали несанкціонований доступ до систем компанії та викрали великий обсяг персональних записів. Викрадені дані потім були опубліковані на форумах темної мережі, тобто стали доступні будь-кому, хто захотів би їх знайти. Розслідування ICO дійшло висновку, що компанія не впровадила належних заходів безпеки для захисту даних, що зберігалися, — саме тому штраф був виданий відповідно до британського законодавства про захист даних.

Масштаб є значним: 663 000 осіб мали свою інформацію скомпрометовано не з їхньої вини. Вони не мали жодного впливу на те, як компанія зберігала їхні дані, які засоби безпеки застосовувала чи як довго зберігала їхні записи.

Чому VPN не міг захистити вас у цьому випадку

Це одна з найважливіших речей, які потрібно розуміти щодо персональних VPN: вони захищають ваші дані під час передачі, тобто те, що покидає ваш пристрій під час перегляду або спілкування. Вони не захищають дані, які третя сторона вже зберігає на якомусь сервері.

Коли ви реєструєтеся в комунальній службі, банку, лікарні або органі місцевого самоврядування, ви передаєте персональну інформацію, яка зберігається в базах даних цієї організації. Відтоді безпека ваших даних повністю залежить від того, наскільки добре ця організація управляє своїми системами, навчає персонал і реагує на загрози. VPN, що працює на вашому ноутбуці чи телефоні, не має жодного стосунку до всього цього.

Це одне з ключових обмежень VPN щодо захисту від корпоративних витоків даних. VPN захищає ваше з'єднання; він не може захистити чужу базу даних. Жоден інструмент, доступний індивідуальному споживачу, не здатен на це. Навіть бездоганна особиста кібергігієна — використання VPN, надійних паролів та багатофакторної автентифікації — залишає вас вразливими до витоків в організаціях, яким ви змушені довіряти свою інформацію.

Що штраф ICO розкриває про корпоративні збої в безпеці даних

Штраф у розмірі £963 900 є значущим, але варто поставити його в контекст. Розділений між 663 000 постраждалих осіб, він становить приблизно £1,45 на людину. Ця цифра не відображає реальних витрат для цих людей, які можуть стикатися зі спробами фішингу, ризиками крадіжки особистих даних або постійним занепокоєнням щодо того, де опинилися їхні дані.

Висновок ICO про серйозні недоліки безпеки вказує на системну проблему: організації, що збирають великі обсяги персональних даних, не завжди ставляться до цієї відповідальності серйозно, поки регулятор не примусить їх до відповідальності. Особливо для постачальників основних послуг клієнти не мають конкурентних важелів впливу. Ви просто не можете відмовитися надати свою адресу водопостачальній компанії.

Саме тут розуміння політик зберігання даних стає справді корисним. Зберігання даних означає, як довго організація зберігає вашу персональну інформацію перед її видаленням. Компанія, яка безстроково зберігає десятиліття клієнтських записів, створює значно більшу мішень, ніж та, що видаляє дані одразу після того, як вони перестають бути потрібними. Справа South Staffordshire нагадує: чим довше дані перебувають у системі, тим більший ризик вони створюють.

Як перевірити, які дані компанії зберігають про вас, і зменшити свою вразливість

Хоча ви не можете повністю відмовитися від надання даних основним службам, ви можете вжити заходів, щоб зрозуміти та зменшити свою вразливість.

Відповідно до GDPR Великої Британії, особи мають право подати Запит на доступ до власних даних (SAR) до будь-якої організації, яка зберігає їхні персональні дані. Це зобов'язує організацію повідомити вам, які дані вона зберігає, чому вона їх зберігає та як довго планує їх утримувати. Подання SAR до комунальних служб, фінансових установ та інших постачальників основних послуг дає вам чіткіше уявлення про вашу вразливість.

Ви також можете просити організації видалити дані, які більше не є необхідними для мети, з якою вони були зібрані, відповідно до положень про «право на забуття» в британському та європейському законодавстві про захист даних. Це застосовується не завжди, особливо там, де існують законодавчі вимоги щодо зберігання, але це важіль, про який варто знати.

Щодо даних, які ви контролюєте, наприклад того, що ви надаєте при реєстрації в необов'язкових сервісах, додатках або програмах лояльності, — важливо бути обачним щодо того, що ви надаєте. Використовуйте додаткову адресу електронної пошти, надавайте лише мінімально необхідну інформацію та перевіряйте політики зберігання даних перш ніж передавати будь-що конфіденційне.

Нарешті, стежте за тим, чи не з'являються ваша адреса електронної пошти або інші відомості у відомих базах даних витоків. Існують безкоштовні інструменти, які сповіщають вас, коли ваші облікові дані з'являються у витоках, даючи вам раннє попередження про необхідність змінити паролі та бути пильними щодо спроб фішингу.

Що це означає для вас

Витік даних South Staffordshire Water — не виняток. Комунальні служби, системи охорони здоров'я, органи місцевого самоврядування та фінансові установи — всі вони зберігають великі кількості персональних даних, і не всі вони пропорційно інвестують у їх захист. Штраф ICO сигналізує про наміри регулятора, але штрафи є реактивними, а не превентивними.

Як особа, найважливіша зміна, яку ви можете здійснити, — це усвідомити, де закінчується ваш контроль. VPN є цінним інструментом для захисту того, що ви надсилаєте та отримуєте в мережі, але обмеження VPN щодо захисту від корпоративних витоків даних є реальними. Ваша безпека настільки надійна, наскільки надійна найслабша база даних, що зберігає ваше ім'я.

Почніть із подання Запиту на доступ до власних даних до компаній, які зберігають ваші найбільш конфіденційні дані, ознайомтеся з політиками зберігання сервісів, на які ви підписуєтеся, та будьте уважні до сповіщень про витоки. Розуміння того, хто зберігає ваші дані і як довго, — це найближче до контролю, якого більшість споживачів може реалістично досягти.