Защита на лични данни

Около 59% от организациите изпълняват всички или почти изисквания по евродирективата GDPR. Това показват резултатите от проучване на Cisco сред 3200 експерти по информационна сигурност от цял свят.

Подготвените за GDPR организации отчитат по-малък риск от пробив на данни и по-кратки забавяния в продажбите, показват още резултатите от проучването.

Една трета ще са готови с GDPR след година

Анкетата е направена с респонденти от 18 страни, включително и няколко европейски. Данните показват, че в ЕС за най-подготвени се считат респондентите в Испания (76%) и Италия (72%). Данни за България няма.

29% от анкетираните очакват организацията им да покрива изискванията на GDPR, а други 9% казват, че ще им трябва повече от година.

Какво показва практиката досега

Проучването е установило, че компаниите, които са инвестирали в подготовка за GDPR, вече извличат ползи от това. Така например 74% от тях са регистрирали пробив на данни, но този дял е по-малък в сравнение на дела от компаниите(89%), които нямат готовност за GDPR.

Компаниите, които покриват изискванията на директивата, отчитат забавяне от средно 3.4 седмици при реализацията на продуктите им на пазара. Това забавяне се дължи на факта, че клиентите им се притесняват за защитата на данните.

При компаниите, които не покриват изискванията на директивата, този период е средно с две седмици по-дълъг: 5.4 седмици.

„Тези резултати показват, че спазването на стандарти за поверителност и защита на данните вече е конкурентно предимство за много компании. Организациите следва да оптимизират ползите от своите инвестиции в защита на данните. Тези инвестиции може да надхвърлят задълженията, които трябва да се спазват съгласно една или друга регулация“, коментират от Cisco.

Френският регулатор CNIL (Commission nationale de l’informatique et des libertés) глоби с 50 млн. евро интернет гиганта Google. Наказанието е за неспазване на евродирективата за защита на личните данни GDPR. Според CNIL американската компания не предоставя адекватна информация за начините, по които обработва лични данни при пласиране на онлайн реклами.

Рекордна глоба

Това е най-голямата глоба по GDPR, откакто евродирективата влезе в сила на 25 май 2018 г. Тя предвижда финансови наказания за компаниите, които оперират на територията на Европейския съюз и не могат да спазват правилата за защита на личните данни.

„Това е първият случай, в който CNIL налага санкция съгласно GDPR. Размерът на глобата е съобразен със степента на неспазване на основните принципи на директивата. А те са прозрачност, информираност и съгласие“, коментира френския регулатор.

Липса на прозрачност

Google не е успяла да информира потребителите за начините, по които събира данните им и ги използва за пласиране на онлайн реклама, се казва в решението. Въпреки че самата компания твърди, че получава информирано съгласие от страна на потребителите, преди да започне да използва данните им, според регулатора това не е така.

„Информацията за обработката на данни и персонализирането на рекламите е разводнена в няколко документа и не позволява на потребителя да добие представа за мащаба на процесите. Например в секция „Персонализиране на реклами“ няма как да се разбере ясно кои услуги, сайтове и приложения участват в обработката на данни (Google Search, Youtube, Google Home, Google Maps, Play Store, Google Pictures…)“, се казва в решението на френската комисия.

Предварително зададено съгласие

CNIL отчита факта, че потребителите могат да избират какви персонализирани реклами да виждат, когато си създават нов акаунт. „Това обаче не означава, че GDPR се спазва. Потребителят не само трябва да избере More Options, за да промени настройките, но и опцията за персонализация на реклами е избрана по подразбиране. Според GDPR обаче съгласието на потребителя е недвусмислено само ако той го е заявил с ясно изразено действие“, посочва френският регулатор.

GDPR предвижда глоби до 20 млн. евро или до 4% от годишния оборот на компаниите (избира се по-голямото от двете), които не спазват директивата.

През 2017 г. Google има приходи от 109.6 млрд. долара. Те формират 99% от консолидирания оборот на Alphabet, компанията-собственик на търсачката.

Все повече компании позволяват на служителите си да използват собствени устройства, когато достъпват фирмени данни. Този модел, известен като Bring Your Own Device (BYOD) спестява разходи и осигурява по-голям комфорт на служителите.

Но също така е свързан с определени рискове за информационната сигурност на компанията. Най-тривиалният пример е за служител, който забравя някъде лаптопа си, в който има чувствителна информация. Възможно е личният таблет на служителя да стане цел на малуер или хакерска атака, което отново е проблем за неговия работодател.

Растяща популярност

Общо 76% от компаниите в ИТ сектора позволяват на служителите си да използват собствени устройства, показва проучване на компанията за информационна сигурност Bitglass. Едва 15% от фирмите имат пълна забрана за използването на собствени устройства.

Липсват мерки за сигурност

В същото време компаниите са наясно, че този модел на работа крие опасности за информационната сигурност. Едва 30% от анкетираните фирми са уверени, че са предприели необходимите мерки за сигурност.

Защитата на лични лаптопи, смартфони и таблети не се различава съществено от защитата на работните станции във вътрешната мрежа на компанията. Ето няколко решения, които могат да сведат до минимум риска от изтичане на данни.

Антивирусен софтуер

Антивирусният софтуер защитава устройството от повечето онлайн заплахи. Предвид факта, че повечето ви служители използват устройствата си основно за сърфиране в интернет, инсталирането на добро антивирусно решение е задължително.

Софтуер за защита от източване на данни

Софтуерът за защита от източване на данни (Data Loss Prevention) е препоръчителен независимо дали компания ви използва модела BYOD. Това е решение, което намалява риска от изтичане на данни от вътрешната мрежа. С него може да контролирате дейността на служителите, както и да контролирате достъпа, модифицирането и изпращането на чувствителна информация.

Криптиране на устройствата

Ако устройството на служителя бъде откраднато (или просто го изгуби), информацията на него може да бъде открадната. Криптирането на устройството решава този проблем. Ако данните на един лаптоп са криптирани, те не могат да бъдат разчетени от външно лице. За да се случи това е необходима парола, която се знае само от собственика на устройството.

Избор на силни пароли

Старото правило за избор на трудни за разбиване пароли никога няма да се изтърка. В случая трябва да обучите служителите си да го правят на своите устройства. Това е както в техен интерес, така и в интерес на компанията. Ето няколко прости правила за избор на сигурни пароли.

Бъг в платформата за онлайн резервации Amadeus е позволявал неоторизиран достъп и подмяна на лични данни на пътниците. Това твърди израелският специалист по информационна сигурност Ноам Ротем, който е открил уязвимостта.

Бъгът позволява на външно лице да разглежда данните на пътниците и да прави промени като например избор на места и менюта или смяна на имейл и телефонен номер.

Amadeus се използва от над 200 авиокомпании от цял свят, включително и много такива, които оперират в България.

Какъв е проблемът

Ротем открил проблема, след като си направил резервация за израелския превозвач ELAL. Той получил линк, на който да провери своя резервационен номер PNR (Passenger Name Record). Но Ротем разбрал, че параметър в URL адреса съдържа PNR номера и ако го промени с валиден номер на друг пътник, той може да види името му. Разполагайки с име и PNR номер, Ротем можел да получи достъп до профила на пътника в онлайн портала на ELAL, да разгледа и променя данните му за контакт и дори да отменя полети от негово име.

„Уязвимостта може да се експлоатира само ако знаете PNR номера на пътника. Но ELAL изпраща тези номера в некриптирани имейл съобщения. Много пътници сами споделят PNR номерата си във Facebook и Instagram“, коментира Пол Кейн от Safety Detective, чийто екип работи с Ротем по откриването и докладването на уязвимостта.

Екипът открил още, че системата на израелския превозвач няма защита от brute force атаки. „Това ни позволи да използваме скрипт, с който открихме валидни PNR номера на случайни пътници, които дават достъп до всичките им данни“, посочва Кейн.

Доставчик на почти половината световен пазар

Amadeus обслужва над 200 авиопревозвачи по цял свят според информация в сайта на компанията. По оценка на Safety Detective превозвачите, които използват Amadeus, държат около 44% от световния пазар. Това означава, че от уязвимостта потенциално са били засегнати десетки милиони пътници, смятат от Safety Detective.

От Amadeus IT Group, която разработва едноименната платформа за резервации, твърдят, че проблемът вече е отстранен. „Даваме най-висок приоритет на сигурността и постоянно следим и обновяваме системите си. Техническите ни екипи незабавно предприеха необходимите действия и вече можем да потвърдим, че проблемът е отстранен. Добавили сме и допълнителни мерки, за да предотвратим достъп до лични данни от страна на злонамерени лица“, коментират от компанията.

Замисляли ли сте се колко важни са паролите за вашата дигитална същност? Тези комбинации от символи, букви и числа защитават всички онлайн услуги и устройства, които използвате. Те заключват дигиталния ви портфейл, защитават цялата ви онлайн комуникация, осигуряват неприкосновеност на профилите ви в социалните мрежи и т.н.

Въпреки че са толкова важни, паролите съвсем не са перфектния ключ. Те могат да бъдат разбити – точно като ключалка – и да доведат до кражба на вашите лични данни, важна информация и финансови средства. Много потребители правят разбиването им максимално лесно, избирайки слаби пароли или разчитайки само на една парола за достъп до всички онлайн услуги.

Компанията за информационна сигурност ESET дава пет съвета за разумно използване на пароли, които са лесни за спазване и могат да се превърнат в едно добро новогодишно обещание през 2019 г.

Използвайте фрази

Стандартните пароли са едновременно трудни за запомняне и лесни за отгатване. Ако вместо тях използвате фрази (няколко думи, събрани в една голяма комбинация), това прави паролата лесна за запомняне и трудна за отгатване. Колкото повече думи съдържа вашата фраза, толкова по-добре.

От ESET препоръчват да изберете фраза с поне 7 думи. „Броят на възможните комбинации нараства експоненциално с всяка следваща дума, а това намалява значително вероятността паролата ви да бъде отгатната“, коментират от компанията.

Избягвайте смислени комбинации от думи

Не правете грешката да избирате смислени фрази: например имена на филми, песни, любими цитати и т.н. Такива фрази са по-лесни за отгатване. Вместо това изберете комбинация от случайни думи, която лесно можете да запомните, но няма смисъл за никой друг.

Пример за такава фраза е drain hearings power homes. Със сегашните технологии ще отнеме стотици хиляди години, за да бъде разбита тази парола, според сайта Use A Passphrase.

Можете да направите паролата още по-трудна за разбиване като добавите числа или специални символи. Например: dr@1nhear1ngspowеrhome$

Забравете за многократното използване на една и съща парола

Никога не използвайте една и съща парола за две или повече онлайн услуги. „Ако по някаква причина някой разбере коя парола използвате, той вече разполага с един ключ, който отключва две или повече врати към дигиталната ви идентичност“, коментират от ESET.

Може би си мислите: „Но как някой ще разбере в кои акаунти използвам тази парола?“ По-лесно е, отколкото си мислите. Нарича се credential stuffing: автоматизиран процес, с който хакерите тестват дали някоя хакната вече парола няма да отключи вашия акаунт. И ако този акаунт се отключва със същата парола, която вече е била хакната, това ви оставя без никаква защита.

Разбира се, ако не трябва да използвате една парола повече от веднъж, това означава, че ще трябва да помните ужасно много пароли. От ESET препоръчват използването на мениджър за управление на пароли, който помни всички дигитални ключове вместо вас.

Използвайте двуфакторна автентикация

Двуфакторната автентикация е второ ниво на защита на вашия акаунт след паролата (тя е първото ниво). Дори и някой да знае паролата ви, двуфакторната автентикация го спира да получи достъп до вашата дигитална самоличност.

Много онлайн услуги като Facebook и Google предлагат двуфакторна автентикация, но тя се активира само по желание на потребителя. Можете да избирате между двуфакторна автентикация със SMS (получавате код за автентикация като текстово съобщение на телефона си), с допълнително приложение (приложението генерира кода) или с физически носител (т.нар. тоукън, който обикновено прилича на флашка).

„Малкото допълнително усилие, което правите, за да се впишете в акаунта си с двуфакторна автентикация, се отплаща. Най-малкото защото няма как да станете жертва на престъпник, който знае вашата парола“, посочват от ESET.

Използвайте по-малко пароли

Звучи като противоречие с казаното дотук, но не е така. Важно е да използвате различни пароли за различните онлайн услуги. Но ако сте се регистрирали в онлайн услуги, които вече не използвате, следва да ги деактивирате. Тук говорим за електронна поща, форуми, сайтове за онлайн игри и каквото друго ви хрумне.

Защо ви е да го правите?

„Проблемът е, че всяка такава услуга носи риск. Доставчикът на услугата може да претърпи пробив и паролата ви да се озове в грешните ръце“, коментират от ESET.

Помислете и за закриване на акаунтите, които са обвързани със социалните ви мрежи. Много онлайн услуги(включително и мобилни приложения) дават възможност да ги достъпвате чрез профила си във Facebook или Google.

В повечето случаи деактивирането на онлайн услуга става бързо и с няколко клика. Достатъчно е да влезете в профила си и да посетите настройките за поверителност.

Двайсетгодишен младеж е задържан по подозрения, че е публикувал в интернет данните на над 1000 обществени личности в Германия, съобщава DW. Според немската полиция задържаният е признал вината си, но разследването по случая продължава.

Полицията е обискирала жилището на задържания в Хесен в неделя, а ден по-късно (7 януари) е бил разпитан. Във връзка с разследването е обискиран домът и на 19-годишен младеж от Хайлброн, който е общувал със задържания и е разпитан като свидетел.

В продължение на месец задържаният младеж от Хесен е публикувал в Twitter акаунт с името G0d данни за германски политици, журналисти, водещи и други популярни лица. Все още не е ясен произходът на данните, но те включват адреси, телефонни номера, снимки и чатове. Сред жертвите са имена като Ангела Меркел и Торстен Швейгер, член на управляващия Християндемократически съюз.

Публикуването на данните е станало през декември 2018 г., но случаят доби популярност в първите дни на януари 2019 г.

Португалската болница Centro Hospitalar Barreiro Montijo е първата институция в страната, глобена за неспазване на евродирективата GDPR. Според International Association of Privacy Professionals болницата е получила три глоби на обща стойност 400 хил. евро. Глобата е била наложена още през юли, а болницата е обжалвала решението.

Глобите са за три различни нарушения. Според местния регулатор здравното заведение е предоставило достъп до данните на пациентите на твърде много потребители. За това нарушение е наложена глоба от 150 хил. евро.

Друга глоба от 150 хил. евро е наложена, тъй като болницата не е приложила технически и организационни мерки, за да пази данните на пациентите си.

Третата глоба е за неспособността на болницата да осигури конфиденциалност и интегритет на данните в информационните й системи. Размерът на глобата е 100 хил. евро.

Според Comissão Nacional de Protecção de Dados (CNPD – португалският еквивалент на Комисията за защита на личните данни) са налице множество нарушения на процедурите за работа с лични данни. Така например липсва документ, който урежда създаването на нови потребители в информационната система на болницата.

Също така лекарите – независимо от тяхната специалност – са можели свободно да разглеждат личните данни на всички пациенти.

Нещо повече – в системата фигурират почти 1000 души с профил „лекар“. Но официално на отчет в болницата се водят едва… 296 лекари.

Това е един от първите случаи в Европа на глоби за неспазване на GDPR. През ноември германската компания Knuddels беше глобена с 20 хил. евро за нарушения съгласно директивата.

Бъг във Facebook е позволявал на външни разработчици да получат достъп до снимките на 6.8 млн. потребители на социалната мрежа. Става дума за снимки, до които външните разработчици обикновено нямат достъп: например публикации в Marketplace и дори непубликувани снимки.

„Проблемът вече е решен, но между 13 и 25 септември някои външни приложения са имали достъп до повече снимки от обикновено“, съобщават от Facebook. Според компанията уязвимостта е дала достъп на 1500 приложения до снимките на потребителите.

Какъв е проблемът

Обикновено приложенията, които искат достъп до снимките във Facebook, получават такъв само за албума Timeline (изображенията, които потребителите публикуват на стените си). Но бъгът е позволил на приложенията да получат достъп и до други снимки в профилите, като например публикуваните в Marketplace или Stories.

Според Facebook е било възможно да се получи достъп дори до снимки, които не са публикувани. Това са изображения, които потребителят не е успял да качи в профила си по една или друга причина – например спиране на достъпа до интернет.

Засегнат ли е профилът ви

Ако профилът ви е засегнат, Facebook ще ви изпрати предупреждение за това. Можете също така да проверите дали профилът ви е засегнат по някакъв начин на тази страница.

Поредната уязвимост

Това е поредната уязвимост, позволяваща изтичане на данни за потребители на Facebook. През септември социалната мрежа съобщи за проблем, който е позволил кражбата на лични данни на 29 млн. потребители. Авторите на атаката са злоупотребили с бъг във функцията View As, който позволява да получите достъп до информация в чужди профили.

През април Facebook закри функцията за търсене на потребители по имейл адрес или телефонен номер, след като разкри, че с нея се злоупотребява. Тогава съоснователят на Facebook Марк Закърбърг направи шокиращото предположение, че „ако функцията е била включена, данните ви в някакъв момент са попаднали в някого“. „Предвид мащабите на активността, която наблюдаваме, ние смятаме, че повечето потребители на Facebook са били застрашени от кражба на лични данни“, съобщи компанията в официално изявление.

Световният пазар на крадени данни генерира 160 млрд. долара годишно според оценка на експерта по компютърни престъпления Майк Макгуайър. В това число влизат както големи информационни масиви – например списъци с данните на клиенти – така и данните на индивидуални потребители.

На нелегалните пазари за данни се продава всичко: от лични съобщения във Facebook до данни за достъп до сървъри. В повечето случаи цените са много достъпни и позволяват кражба на самоличност и пробив в информационната сигурност на една организация срещу съвсем скромна инвестиция.

Ценни данни за жълти стотинки

Има случаи, в които данни за достъп до критично важни информационни системи се продават на поразително ниски цени. Изследователите на McAfee посочват пример, в който данните за достъп до устройство на територията на американско летище се продават за едва 10 долара. Става дума за достъп през RDP (Remote Desktop Protocol), като данните за влизане в устройството са били откраднати и пуснати за продажба в един от нелегалните онлайн пазари UAS Shop.

„Атака срещу определена мрежа може да се окаже изключително лесна и евтина. Престъпници като авторите на рансъмуера SamSam например трябва да похарчат само 10 долара. Срещу това те получават данни за достъп през RDP, с които могат да заразят устройството с рансъмуер и да искат откуп от порядъка на 40 хил. долара. Това не е никак лоша възвращаемост на инвестицията“, коментира Джон Фокър от McAfee.

Лични документи, разплащателни инструменти

Цената на фалшив американски паспорт с откраднати лични данни може да достигне 2000 долара по данни на Experian. Фалшива диплома може да се купи за между 100 и 400 долара, а шофьорска книжка – за около 20 долара. Между 20 и 200 долара струват крадени данни за достъп до платежна услуга като PayPal.

В нелегалните онлайн магазини могат да се намерят и големи масиви лични данни като имейл адреси, телефонни номера, физически адреси и други. Според Trend Micro цената на списък с мобилни номера може да струва до 1240 долара, а списък със стационарни номера – около 1930 долара.

Откраднати данни от Facebook

През ноември 2018 г. BBC съобщи за данни от 81 хил. хакнати Facebook профили, които се продават в интернет. Данните са предимно лични съобщения между потребители. Допълнителна проверка установи и данни от 176 хил. профили като например имейли и телефонни номера.

През септември 2018 г. данните на 29 млн. потребители на Facebook бяха откраднати след атака срещу социалната мрежа. Откраднатите данни включват имена, телефонни номера, имейл адреси, пол, религия, местоживеене, рожденна дата, образование, месторабота, места, на които потребителят се е тагнал и други.

Как да се предпазите от кражба на лични данни

Няма пълна защита от кражбата на лични данни, но има мерки, които можете да предприемете, за да намалите рисковете.

• Научете се да разпознавате и предпазвате от фишинг
• Използвайте силни пароли и ги сменяйте често
• Използвайте двуфакторна автентикация
• Инсталирайте защитна стена;
• Използвайте софтуерно решение, което защитава от източване на лични данни;
• Не използвайте уебсайтове без SSL;
• Създайте политики за достъп до информация във вашата организация;
• Използвайте софтуерно решение за криптиране на данните;

През първото деветмесечие на 2018 г. Alphabet, компанията-майка на Google, е генерирала 97 млрд. долара приходи. От тях 83.7 млрд. долара(или 86% от общия оборот) идват от реклама.

За да поддържа този гигантски поток от пари, Google има нужда от възможно най-много потребителски данни. Търсачката и свързаните с нея услуги има обширно досие за дигиталната самоличност на потребителите си: какво търсят, какви места са посещавали, какви покупки са направили, какви клипове в Youtube са гледали, какво е здравословното им състояние (ако използват Google Fit), албумите им със снимки и много друга информация.

Този масив от данни позволява на компанията да таргетира реклами в зависимост от интересите и необходимостите на потребителите, превръщайки се по този начин в ефективен маркетингов канал.

Как да видите с какви данни за вас разполага Google

Съгласно GDPR можете да видите на тази страница какви данни за вас пази Google, както и да поискате копие от тези данни. Имате възможност да избирате дали да свалите данни, събрани от всички продукти на Google, или само някои от тях.

След като направите избора си, потвърдете го с Next.

Следващата стъпка е да изберете в какъв формат да е файлът с вашите данни. Можете да избирате между два архивни формата: .zip и .tgz. Ще трябва да определите и какъв да е размерът на всеки архивен файл. Това е важно, ако съхранявате голям обем данни в продуктите на Google. Ако например размерът на вашите данни е 100 гигабайта, но изберете максимален размер на архивния файл от 2 гигабайта, данните ще бъдат разпределени в много архивни файлове с този размер.

Последната стъпка е да изберете как искате да получите вашите данни. Можете да получите линк за сваляне на имейл, или да ги получите на облачна услуга като Google Drive, Dropbox или OneDrive. Линкът за сваляне е активен една седмица, след като го получите.

След като сте приключили с всички настройки по създаването на архива, можете да го потвърдите с Create Archive.