Защита на лични данни

Португалската болница Centro Hospitalar Barreiro Montijo е първата институция в страната, глобена за неспазване на евродирективата GDPR. Според International Association of Privacy Professionals болницата е получила три глоби на обща стойност 400 хил. евро. Глобата е била наложена още през юли, а болницата е обжалвала решението.

Глобите са за три различни нарушения. Според местния регулатор здравното заведение е предоставило достъп до данните на пациентите на твърде много потребители. За това нарушение е наложена глоба от 150 хил. евро.

Друга глоба от 150 хил. евро е наложена, тъй като болницата не е приложила технически и организационни мерки, за да пази данните на пациентите си.

Третата глоба е за неспособността на болницата да осигури конфиденциалност и интегритет на данните в информационните й системи. Размерът на глобата е 100 хил. евро.

Според Comissão Nacional de Protecção de Dados (CNPD – португалският еквивалент на Комисията за защита на личните данни) са налице множество нарушения на процедурите за работа с лични данни. Така например липсва документ, който урежда създаването на нови потребители в информационната система на болницата.

Също така лекарите – независимо от тяхната специалност – са можели свободно да разглеждат личните данни на всички пациенти.

Нещо повече – в системата фигурират почти 1000 души с профил „лекар“. Но официално на отчет в болницата се водят едва… 296 лекари.

Това е един от първите случаи в Европа на глоби за неспазване на GDPR. През ноември германската компания Knuddels беше глобена с 20 хил. евро за нарушения съгласно директивата.

Бъг във Facebook е позволявал на външни разработчици да получат достъп до снимките на 6.8 млн. потребители на социалната мрежа. Става дума за снимки, до които външните разработчици обикновено нямат достъп: например публикации в Marketplace и дори непубликувани снимки.

„Проблемът вече е решен, но между 13 и 25 септември някои външни приложения са имали достъп до повече снимки от обикновено“, съобщават от Facebook. Според компанията уязвимостта е дала достъп на 1500 приложения до снимките на потребителите.

Какъв е проблемът

Обикновено приложенията, които искат достъп до снимките във Facebook, получават такъв само за албума Timeline (изображенията, които потребителите публикуват на стените си). Но бъгът е позволил на приложенията да получат достъп и до други снимки в профилите, като например публикуваните в Marketplace или Stories.

Според Facebook е било възможно да се получи достъп дори до снимки, които не са публикувани. Това са изображения, които потребителят не е успял да качи в профила си по една или друга причина – например спиране на достъпа до интернет.

Засегнат ли е профилът ви

Ако профилът ви е засегнат, Facebook ще ви изпрати предупреждение за това. Можете също така да проверите дали профилът ви е засегнат по някакъв начин на тази страница.

Поредната уязвимост

Това е поредната уязвимост, позволяваща изтичане на данни за потребители на Facebook. През септември социалната мрежа съобщи за проблем, който е позволил кражбата на лични данни на 29 млн. потребители. Авторите на атаката са злоупотребили с бъг във функцията View As, който позволява да получите достъп до информация в чужди профили.

През април Facebook закри функцията за търсене на потребители по имейл адрес или телефонен номер, след като разкри, че с нея се злоупотребява. Тогава съоснователят на Facebook Марк Закърбърг направи шокиращото предположение, че „ако функцията е била включена, данните ви в някакъв момент са попаднали в някого“. „Предвид мащабите на активността, която наблюдаваме, ние смятаме, че повечето потребители на Facebook са били застрашени от кражба на лични данни“, съобщи компанията в официално изявление.

Световният пазар на крадени данни генерира 160 млрд. долара годишно според оценка на експерта по компютърни престъпления Майк Макгуайър. В това число влизат както големи информационни масиви – например списъци с данните на клиенти – така и данните на индивидуални потребители.

На нелегалните пазари за данни се продава всичко: от лични съобщения във Facebook до данни за достъп до сървъри. В повечето случаи цените са много достъпни и позволяват кражба на самоличност и пробив в информационната сигурност на една организация срещу съвсем скромна инвестиция.

Ценни данни за жълти стотинки

Има случаи, в които данни за достъп до критично важни информационни системи се продават на поразително ниски цени. Изследователите на McAfee посочват пример, в който данните за достъп до устройство на територията на американско летище се продават за едва 10 долара. Става дума за достъп през RDP (Remote Desktop Protocol), като данните за влизане в устройството са били откраднати и пуснати за продажба в един от нелегалните онлайн пазари UAS Shop.

„Атака срещу определена мрежа може да се окаже изключително лесна и евтина. Престъпници като авторите на рансъмуера SamSam например трябва да похарчат само 10 долара. Срещу това те получават данни за достъп през RDP, с които могат да заразят устройството с рансъмуер и да искат откуп от порядъка на 40 хил. долара. Това не е никак лоша възвращаемост на инвестицията“, коментира Джон Фокър от McAfee.

Лични документи, разплащателни инструменти

Цената на фалшив американски паспорт с откраднати лични данни може да достигне 2000 долара по данни на Experian. Фалшива диплома може да се купи за между 100 и 400 долара, а шофьорска книжка – за около 20 долара. Между 20 и 200 долара струват крадени данни за достъп до платежна услуга като PayPal.

В нелегалните онлайн магазини могат да се намерят и големи масиви лични данни като имейл адреси, телефонни номера, физически адреси и други. Според Trend Micro цената на списък с мобилни номера може да струва до 1240 долара, а списък със стационарни номера – около 1930 долара.

Откраднати данни от Facebook

През ноември 2018 г. BBC съобщи за данни от 81 хил. хакнати Facebook профили, които се продават в интернет. Данните са предимно лични съобщения между потребители. Допълнителна проверка установи и данни от 176 хил. профили като например имейли и телефонни номера.

През септември 2018 г. данните на 29 млн. потребители на Facebook бяха откраднати след атака срещу социалната мрежа. Откраднатите данни включват имена, телефонни номера, имейл адреси, пол, религия, местоживеене, рожденна дата, образование, месторабота, места, на които потребителят се е тагнал и други.

Как да се предпазите от кражба на лични данни

Няма пълна защита от кражбата на лични данни, но има мерки, които можете да предприемете, за да намалите рисковете.

• Научете се да разпознавате и предпазвате от фишинг
• Използвайте силни пароли и ги сменяйте често
• Използвайте двуфакторна автентикация
• Инсталирайте защитна стена;
• Използвайте софтуерно решение, което защитава от източване на лични данни;
• Не използвайте уебсайтове без SSL;
• Създайте политики за достъп до информация във вашата организация;
• Използвайте софтуерно решение за криптиране на данните;

През първото деветмесечие на 2018 г. Alphabet, компанията-майка на Google, е генерирала 97 млрд. долара приходи. От тях 83.7 млрд. долара(или 86% от общия оборот) идват от реклама.

За да поддържа този гигантски поток от пари, Google има нужда от възможно най-много потребителски данни. Търсачката и свързаните с нея услуги има обширно досие за дигиталната самоличност на потребителите си: какво търсят, какви места са посещавали, какви покупки са направили, какви клипове в Youtube са гледали, какво е здравословното им състояние (ако използват Google Fit), албумите им със снимки и много друга информация.

Този масив от данни позволява на компанията да таргетира реклами в зависимост от интересите и необходимостите на потребителите, превръщайки се по този начин в ефективен маркетингов канал.

Как да видите с какви данни за вас разполага Google

Съгласно GDPR можете да видите на тази страница какви данни за вас пази Google, както и да поискате копие от тези данни. Имате възможност да избирате дали да свалите данни, събрани от всички продукти на Google, или само някои от тях.

След като направите избора си, потвърдете го с Next.

Следващата стъпка е да изберете в какъв формат да е файлът с вашите данни. Можете да избирате между два архивни формата: .zip и .tgz. Ще трябва да определите и какъв да е размерът на всеки архивен файл. Това е важно, ако съхранявате голям обем данни в продуктите на Google. Ако например размерът на вашите данни е 100 гигабайта, но изберете максимален размер на архивния файл от 2 гигабайта, данните ще бъдат разпределени в много архивни файлове с този размер.

Последната стъпка е да изберете как искате да получите вашите данни. Можете да получите линк за сваляне на имейл, или да ги получите на облачна услуга като Google Drive, Dropbox или OneDrive. Линкът за сваляне е активен една седмица, след като го получите.

След като сте приключили с всички настройки по създаването на архива, можете да го потвърдите с Create Archive.

Личните данни на около 100 млн. потребители на сайта за въпроси и отговори Quora са били компрометирани. Една от информационните системи на компанията, която поддържа сайта, е била пробита от неизвестна засега трета страна, съобщи Quora в блога си.

„Голяма част от съдържанието, което е достъпено, така или иначе е публично, но компрометирането на акаунти и лични данни е сериозно“, коментират от Quora. сайтът се посещава от около 300 млн. уникални потребители месечно. Няма официална статистика каква част от тях са българи.

Всички засегнати потребители ще трябва отново да влязат в профилите си в Quora. Ако удостоверяват самоличнотта си с парола (Quora позволява да се впишат в платформата и с профила си във Facebook или Google), те ще трябва да сменят паролата си, тъй като старата ще бъде невалидна.

Какви данни са откраднати

От компанията посочват, че следните потребителски данни може да са компрометирани:

• Данни за профила – име, имейл адрес, парола в хеширан вид, данни от свързани социални мрежи;
• Публично достъпна информация – зададени въпроси, написани отговори и коментари, положителни гласувания;
• Непублична информация – отрицателни гласувания и директни съобщения между потребители;

„Анонимни въпроси и отговори не са засегнати, тъй като не пазим данни за хора, които публикуват анонимно“, посочват от Quora.

Каква е причината

Засега няма информация как точно са достъпени данните на потребителите на Quora. Пробивът е открит в петък и от тогава компанията се опитва да установи точните причини за него. „Разследването ни продължава, но сме взели мерки, за да ограничим последствията от пробива. Основен приоритет за нас като компания е да предотвратим подобни инциденти в бъдеще“, казват от Quora.

Какво да направите, ако използвате Quora

Ако профилът ви е засегнат по някакъв начин, ще получите имейл, който ви известява за това.

Възможно е паролата ви административно да е направена невалидна. В такъв случай ще трябва да я смените следващия път, когато се опитате да влезете в Quora. Дори и паролата ви да не е невалидна, можете да я смените като превантивна мярка от настройките на профила.

Ако профилът ви е засегнат и използвате същата парола и за други профили, добрата практика изисква да промените паролата си и за тях.

Последен ъпдейт на 4 декември 2018 в 11:14 ч.

Oператорът на хотели Starwood е претърпял пробив на базата данни с резервации, съобщи собственикът Marriott International. Откраднати са лични данни на около 500 млн. гости, въпреки че все още се проверява каква част от тях се дублират.

Неизвестният засега извършител е имал достъп до базата данни от 2014 г., твърди Marriott International. Компанията придоби Starwood през 2016 г. На 19 ноември 2018 г. мениджмънтът на Marriott е разбрал, че е разбита базата данни, съдържаща информация за гостите на тези хотели.

Индикации за пробив е имало и преди това, но не е било ясна коя база данни е пострадала. За проблема са информирани властите и съответните регулатори.

Имена, адреси, номера на банкови карти

За около 327 млн. гости откраднатите данни са различни комбинации от име, адрес за кореспонденция, телефонен номер, имейл, номер на паспорт, рожденна дата, пол, дата на пристигане и заминаване и други.

„За някои от гостите информацията включва и номера на карти за разплащания, но те са криптирани с AES-128. За декриптирането им са необходими два компонента. Към този момент не можем да изключим вероятността тези компоненти да са откраднати. За останалите гости откраднаните данни се ограничават до име, адрес за кореспонденция, имейл адрес, или друга информация“, съобщават от Marriott.

„Дълбоко съжаляваме за този инцидент“, заяви Арни Сорънсън, главен изпълнителен директор на компанията. Акциите на Marriott, които се търгуват на NASDAQ, поевтиняха с 5% още преди отварянето на борсовата сесия в САЩ.

От 30 ноември компанията е започнала да информира за пробива гостите, чиито имейли са били в базата данни на Starwood. Съзаден е и специален сайт, на който гостите могат да следят за информация и да задават въпроси.

Един от сериозните инциденти на 2018 г.

Инцидентът със Starwood със сигурност ще е един от най-големите пробиви на данни за 2018 г., ако се вземе предвид статистиката на Breach Level Index. През първото полугодие на годината има само два по-мащабни пробива.

Единият е свързан с Facebook и по-точно с функционалност в социалната мрежа, която позволяваше да се идентифицира собственикът на определен имейл или телефонен номер. Другият засяга индийската система за раздаване на идентификационни номера Aadhaar. Тя беше хакната, а данните на 1.2 млрд. граждани – откраднати.

Последен ъпдейт на 28 ноември 2018 в 10:54 ч.

Чат платформата Knuddels е първата компания в Германия, глобена за неспазване на изискванията на евродирективата GDPR. Глобата е в размер на 20 хил. евро. Наложена е, защото 1.8 млн. потребителски имена и пароли на нейни потребители бяха публикувани в интернет.

Кражбата на лични данни се е случила през юли 2018 г., твърди BleepingComputer. Knuddels не е криптирала по никакъв начин данните за достъп до потребителските профили. Tе са били откраднати  от сървърите й и качени в Pastebin, където традционно се публикуват крадени лични данни. Публикувани са и в облачната услуга Mega. Освен 1.8 млн. имена и пароли са изтекли и малко над 800 хил. имейл адреси.

Knuddels е информирала потребителите си и местните регулатори за пробива. „Данни за достъп на наши потребители бяха публикувани в интернет. Нямаме данни за злоупотреба. Въпреки това временно деактивирахме всички профили, чиито данни са изтекли“, съобщава компанията в публикация в своя форум от началото на септември.

GDPR влезе в сила в края на май 2018 г. и предвижда глоби до 20 млн. евро или 4% от годишния оборот на компанията (взима се по-голямото от двете) за неспазване на изискванията на директивата. При определяне размера на глобата се вземат различни фактори като брой на засегнатите потребители, превантивни мерки и взаимодействие с регулаторните органи.

Средният разход, който една компания плаща при пробив на своята информационна сигурност, се е повишил с 10% за последните 5 години. Стойността му вероятно ще продължи да расте заради влизането в сила на GDPR. Това са два от изводите в последното годишно проучване на Ponemon Institute.

Компаниите плащат средно по 3.86 млн. долара за пробив в информационната си сигурност. За последните 5 години този разход се е вдигнал с 10% или средно по 360 хил. долара на компания.

Къде е най-скъпо

Най-високите разходи са в САЩ. Там една компания плаща средно по 7.91 млн. долара, за да се справи с пробив в информаицонната си сигурност.

Това частично се дължи на факта, че американските компании плащат най-високите в света разходи за докладване на пробивите. Докато в страни като Индия средната сума е 20 хил. долара, в САЩ тя достига 740 хил. за компания. Причина за високите стойности в САЩ са регулаторните изисквания.

Според Ponemon Institute подобен ефект върху разходите ще има и евродирективата GDPR, която влезе в сила в края на май 2018 г. Тя засяга всички компании, които оперират на територията на Европейксия съюз. „Разходите за докладване в САЩ са високи заради американските регулации. Очакваме, че GDPR ще доведе до огромно увеличение за компаниите от цял свят в разходите за докладване при пробив“, коментират от Ponemon Institute.

Тенденция към покачване

Изследването е проведено сред 477 компании от 15 страни и региона на света. Всяка от тях е претърпяла пробив на данни през изминалите 12 месеца до юли. В анкетата влизат компании от сферата на здравеопазването, финансите, технологиите и комуникациите, търговията, фармацевтиката, енергетиката и др.

Средните разходи за 2018 г. дори не са най-високите за периода, откакто се води проучването. През 2016 г. например средният разход, причинен от пробив в информационната сигурност, е 4 млн. долара.

Като цяло обаче тенденцията е към трайно покачване. „Нашето проучване показва, че година след година информационните пробиви струват все по-скъпо на компаниите и все повече потребителски данни биват откраднати“, посочват от Ponemon Institute.

Защо разходите са все по-високи

Кои фактори оказват най-голямо влияние върху цената, която бизнесът плаща при пробив на данни? От Ponemon Institute посочват пет основни такива.

• Неочаквана загуба на клиенти след пробива – всеки пробив намалява доверието на клиентите в компанията, а с това намалява и тяхната лоялност. Ето защо компаниите, които имат назначен директор по сигурността на информацията, отчитат по-малки разходи при прибив на данни;
• Обем на откраднатите данни – колкото повече данни са откраднати, толкова по-скъпо излиза това на засегнатата компания;
• Време за откриване на пробива – колкото по-бързо една компания открие и се погрижи за пробива, толкова по-ниски ще са разходите й за покриването му;
• Ефективно управление на превантивните мерки – компаниите, които инвестират в превантивни мерки – дали ще са инструменти за засичане на пробиви или екипи, които се занимават със сигурността на данните – отчитат по- ниски разходи;
• Ефективно управление на разходите след пробива – такива са разходите за обслужване на клиентите, комуникация с клиенти и медиите, издаване на нови акаунти и т.н. Тези разходи се правят, след като е ясно какъв е мащабът на пробива и какви данни са пострадали. Ако компанията ги направи преди това, има опасност парите да са хвърлени напразно, което увеличава общата цена на пробива;

Служебният лаптоп може да съдържа много чувствителна информация. Тя включва лични данни на клиенти и служители, фирмени данни за парнтьори, банкови сметки, фактури, извлечения, платежни нареждания и други важни документи.

Има няколко базови правила, които могат да попречат на информацията да попадне в грешни ръце. Откраднатите или изгубени устройства са втората най-честа причина(след хакерските атаки) за изтичане на корпоративни данни според проучване на Trend Micro от 2015 г. За съжаление голяма част от служителите продължават да пренебрегват подобни рискове и това може да струва скъпо на компанията.

Криптирайте данните на лаптопа

Служебният лаптоп често съдържа чувствителна информация, която не следва да напуска фирмата. Затова е важно данните на него да са криптирани като допълнителна превантивна мярка.

Ако лаптопът бъде откраднат или изгубен, данните на него ще останат защитени. По този начин може да се предотврати изтичане на важна корпоративна информация. Такива случаи не липсват: в края на 2017 г. служител на летище Хийтроу изгуби некриптирана USB флаш памет със секретни данни. Флашката беше открита, но заради немарливостта летището отнесе глоба от 120 хил. паунда.

Windows има вграденa функция за криптиране BitLocker, но можете да използвате и друг софтуер, с който да защитите данните си. Допълнителната полза от него е, че можете да локализирате устройството в случай на кражба.

Използвайте различни и трудни за отгатване пароли

Много служители все още подценяват необходимостта от трудни за отгатване пароли. Неслучайно 123456 продължава да оглавява класацията на Splashdata за най-слабите пароли: заедно с други често срещани комбинации като password и qwerty. Паролата е една от малкото ключалки, които предпазват данните на служебния лаптоп, затова тя трябва да е възможно най-трудна за разбиване.

Стандартните препоръки са паролата да е с дължина поне 8 символа, да е комбинация от числа, малки и големи букви и символи. Можете да използвате комбинация от няколко думи (passphrase). Това ще ви позволи да я запомните по-лесно, а освен това е по-дълга от стандартна парола с десетина символа.

Друга основна грешка е да използвате една и съща парола за много профили. Това създава сериозен риск за сигурността. Ако някой знае една парола, това означава, че той знае паролите за всичките ви профили. Използвайте различна парола за всеки профил, в който влизате.

Избягвайте публични WiFi мрежи

Безплатният интернет е хубаво нещо, но трябва да си дадете сметка за цената, която всъщност плащате, за да го ползвате. WiFi мрежите в заведения и други публични места може да са компрометирани. Трафикът в тях може да се следи, а това означава, че всяка некриптирана информация, която преминава в мрежата, е видима за този, който „подслушва“.

Ако трябва да се закачите към общественодостъпна мрежа, използвайте VPN. Не отваряйте сайтове без HTTPS, защото информацията, която обменяте с тях, е лесно проследима.

В България има почти 27 хил. отворени WiFi мрежи според данните на WiGLE. Всяка от тях крие риск от кражба на данни, така че използвайте ги отговорно. Или по-скоро не ги използвайте.

Лични данни на около 9.4 млн. пътници на авиопревозвача Cathay Pacific са били откраднати, а компанията е крила инцидента в продължение на 5 месеца. Освен имена, достъпените данни включват гражданство, рожденни дати, телефонни номера, адреси, номера на паспорти и лични карти и данни за предишни пътувания.

Лични данни на едро

За пробива съобщи базираната в Хонконг авикомпания. Получен е достъп до номерата на личните карти на около 245 хил. граждани на Хонконг, както и до номерата на паспортите на около 850 хил. пътници. Засега няма техническа информация за това как точно са били източени данните. Не са открити и опити за злоупотреби с откраднатите данни.

Cathay Pacific е разбрала за пробива още през май, но го обяви публично едва на 24 октомври. Компанията беше разкритикувана за това, че е отлагала толкова дълго информация за инцидента. В рамките на работната седмица акциите й на борсата в Хонконг се обезцениха с над 8% и паднаха до най-ниската си цена от 2009 г. насам.

Подобни инциденти

Това е последният от редица случаи, засягащи изтичане на лични данни от авиокомпании или летищни оператори. През септември 2018 г. British Airways съобщи за откраднати данни на около 380 хил. свои пасажери. По информация на компанията пробивът е засегнал онези пътници, които са се опитали да си купят билет през сайта или мобилното приложение на превозвача в периода между 21 август и 5 септември.

През април 2018 г. Delta Air Lines съобщи, че данни на пътници са откраднати заради „инцидент“. Той засяга [24]7.ai – компания, която разработва софтуер за обслужване на клиенти. Той се използва и от Delta Air Lines.

В началото на октомври 2018 г. британското летище Heathrow беше глобено със 120 хил. паунда. Причината: година по-рано служител на летището изгуби флаш памет с конфиденциална информация, която след това беше намерена от случаен минувач.

Оказа се, че информацията на флашката не е криптирана и всеки може да види разположението на охранителните камери на летището, графика на охраната, данните за достъп до служебни помещения и друга информация, която следва да не е достъпна за никого. Данните бяха върнати на летището, но случаят се появи в медиите и стигна до британските регулатори.