Mi számít érzékeny adatnak?
Lassan megszoktátok, hogy itt a Crosssecnél mindig az érzékeny adatokról beszélünk. Viszont arról, hogy mi lehet tényleg érzékeny adat, még nem esett szó.
Olvassatok tovább, érdekes lesz!
Személyes adatok
Első nekifutásra koncentráljunk az EU-n belülre. A privát adatok kezelése és tárolása sokkal trükkösebb az USA-ban, erről egy későbbi cikkünkben majd olvashattok bővebben.
Azt, hogy mi számít személyes adatnak, egy EU irányelv (pontosabban a 95/46/EK adatvédelmi irányelv) szabályozza, miszerint:
"személyes adat" az azonosított vagy azonosítható természetes személyre ("érintettre") vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén
Oké, szóval bármi, ami személyhez köthető. Név, cím, telefonszám, e-mail cím, tartózkodási hely, akármi, amivel azonosítható lehet valaki.
Persze kérdezheted: „Miért kellene védenem olyan adatokat, mint például a nevem, vagy az édesanyám neve?”
A Social Engineering támadások pontosan az ilyen információk megszerzésével kezdődnek. Ahogy már olvashattad a témával foglalkozó cikkünkben, ezek az alapvető személyes adatok azok, amikkel könnyen be tudnak azonosítani az ügyfélszolgálatok, vagy akár a bankok is.
Azért nem csak a Social Engineering miatt érdemes figyelni arra, hogy mi elérhető rólunk a neten. Biztos vagy benne, hogy mindenkivel mindent meg akarsz osztani? A munkáltatód, barátok, cégek mindenről tudhatnak? Szerencsére a törvények elég jól védenek minket, felhasználókat itt az Európai Unióban. A beleegyezésünk nélkül senki nem kezelhet rólunk szóló adatokat.
Az USA-ban ez nem így van. Az amerikai cégek szabadon kereskedhetnek a felhasználói információkkal. Nyilvánosan elérhető adatbázisok formájában akárki vásárolhat adatot, vagy kereshet köztük például TAJ-szám alapján.
Ne felejtsük el, hogy a technológia fejlődésével a reklámpiac is lépést tart. A személyre szabott reklámokhoz márpedig személyes adatok kellenek. Ezekhez jellemzően úgy jutnak hozzá a cégek, hogy „ingyenes” szolgáltatásokért cserébe személyes adatokkal fizetünk. A helyzetünk megint csak szerencsésebb, mint az Amerikában élő felhasználóké; Mi kérhetjük, hogy töröljék a velünk kapcsolatos adatokat.
Találkoztál már azzal, hogy olvasol pár cikket valamilyen filmről, vagy termékről, és hirtelen ezekkel kapcsolatos hirdetéseket kapsz? Ha mindent megosztunk magunkról a szolgáltatókkal, személyes profilokat készíthetnek rólunk. Ezek a profilok viszont elég ijesztők és veszélyesek is lehetnek, ha belegondolsz.
Rengeteg dolgot osztunk meg online. Hatalmas mennyiségű információ szerezhető mindenkiről, aki rendszeresen használ közösségi médiát. Egy Facebook hírfolyam, egy Instagram felhasználó vagy egy Twitter fal kész aranybánya a hirdetők szemszögéből. Gondold át, hogy a képeidet vagy állapotfrissítéseidet kikkel osztod meg! Érdemes ezeket csak tényleg a barátaid, és nem mindenki számára elérhetően posztolni.
Mutatok pár olyan infót, amiket nem ajánlott megosztani:
Bejelentkezések
Ha bejelentkezel egy külföldi hotelból, vagy a nyaralásod alatt posztolsz úgy, hogy látszik honnan írsz, mindenki tudni fogja hogy nem vagy otthon. Biztos okos dolog ezt megosztani mindenkivel? Persze csábító lehet azonnal, még a nyaralás alatt feltölteni fényképeket, vagy elmesélni mindent, ami történt, de ha mindenképp meg szeretnéd osztani, figyelj ki láthatja.
Új vásárlások
Hasonlóan a vakációs bejegyzésekhez, sokunknak az első dolga megosztani, ha vesz valami újat. Laptopok, okostelefonok, ékszerek, sokan azonnal készítik a fotót és már megy is a Facebook vagy Instagram megosztás. Ilyenkor viszont jellemzően nem csak az ismerőseink látják, miket vettünk, hanem olyanok is, akiknek nem biztos, hogy kellene.
Belépők, jegyek, nyereményszelvények
Biztosan láttál már te is ismerősöket, akik koncertjeggyel a kézben mutatkoznak Facebookon. A probléma ott kezdődik, hogy ezeken a jegyeken ott a vonalkód, vagy a QR kód, amiket nagyon gyorsan és egyszerűen le lehet másolni. Pontosan így járt az az ausztrál hölgy is, aki a nyertes lóverseny szelvényével szelfizett, majd mikor próbálta volna beváltani azt, közölték vele hogy a nyereményt már felvette valaki más.
Nem szabad elfelejteni, hogy a közösségi oldalon nem csak közeli barátokkal állunk kapcsolatban, hanem távoli, nem is annyira jól ismert emberekkel is. Éppen ezért akkor sem lehet okos ötlet megosztani az ilyen dolgokat, ha a megosztási beállításoknál csak a „Barátok” opciót választjuk ki.
Ezek az adatok a te adataid. Te adhatsz engedélyt arra, hogy ki kezelheti őket, te oszthatod meg, te férhetsz hozzájuk. Jogod van tudni, ki és hogyan kezeli őket.
A fenti példákból láthatod, hogy a személyes információk – ha rossz kezekbe kerülnek – komoly gondokat tudnak okozni. A személyiséglopás, csalás vagy visszaélések nem csak privát adatokkal lehetségesek. A feketepiacokon pedig különösen nagy igény és kínálat van személyes adatokra és személyes adatokból. Légy éber, és védd a sajátjaidat!
Üzleti adatok
A személyes adatok védelme tényleg fontos. De mi a helyzet az üzleti életben? Az ipari kémkedés nem egy új dolog, de nem is az egyetlen veszély. Mivel a mindennapi munkánk során majdnem mindent számítógépen kezelünk, a virtuális veszélyekre is fel kell készülnünk. A ransomware zsaroló vírusok, vagy a social engineering mellett több problémás területre is érdemes odafigyelni.
Ha a céged felhasználók adatait kezeli (márpedig ha vannak ügyfeleid, erre igen nagy az esély), ezeket meg is kell védenie. Erre a józan ész mellett a törvény is kötelez.
Nyilván a saját üzleti adataid biztonságáról is gondoskodnod kell. Kimutatások, marketing anyagok, tervek, előrejelzések, piackutatások; Ezek mind rendkívül értékes dolgok. Nem csak neked, a versenytársaidnak is.
Szeretnék bemutatni pár jellemző veszélyt, ami az üzleti élet során az információ helyes kezelésével megelőzhető:
Állapotmegosztások
Gondold át kétszer, mielőtt akármi olyat raksz fel a netre, ami a munkáddal kapcsolatos! Ha nem így teszel, könnyen úgy járhatsz, mint a Miranda Studios 3D grafikusa.
2015 márciusában, az egyik projekt befejezésével úgy döntött, frissíti a LinkedIn profilját a következővel:
„2014 December – 2015 Március (4 hónap) … Fallout 4 előzetes”
A probléma ezzel csak annyi volt, hogy a több mint száz millió dolláros költséggel rendelkező videójátékot csak 2015 júniusában jelentették be hivatalosan.
Azért ez kellemetlen.
Képmegosztás
Ha szétnézünk az Instagramon, vagy a Facebookon elég gyakran futhatunk bele mindenféle, munkahelyen készült fényképekbe. Az ilyen képek azonban gyakran megmutathatnak olyan dolgokat is, amiket csak a cég dolgozóinak szabadna látni.
Pontosan ez történt a Trónok Harca című sorozat egyik új színészével is. Egy ártatlannak tűnő Instagram képmegosztással sikerült megosztani egy oldalt az új évad forgatókönyvéből.
Kinyomtatott dokumentumok
Az egyik legyakrabban elkövetett hiba, a nyomtatott dokumentumokkal kapcsolatos. Az érzékeny információkat tartalmazó papírok gyakran végzik a szemetesben anélkül, hogy az iratmegsemmisítő gondoskodhatna arról, hogy többé ne legyenek olvashatók.
Bár eleinte elképzelhetetlenül hangzik, az irodai szemetesek komoly veszélyt jelentenek. A HVG cikke szerint a takarító cégek fele jut bizalmas információhoz a megbízó cégek hanyagsága miatt.
E-mailek
Az üzleti e-mailek döntően bizalmas jellegűek. Megbeszélések, belsős információk vagy éppen fájlok küldése is történhet e-mailben. Éppen ezért lehetnek értékesek a social engineering vagy a hackerek számára. Már csak a parnterlistád vagy naptárad is hasznos lehet egy támadónak.
A véletlenül félrecímzett, vagy továbbított levelek a leggyakoribb adatszivárgási okok az üzleti életben.
Felhasználókezelés
A felhasználói jogok kezelése kulcskérdés. Ha valakinek az indokoltnál több hozzáférési joga van, könnyen okozhat bajt véletlenül is. A felhasználói szerepkörök kiosztása sok kellemetlenségtől menthet meg. Nyilvánvalóan egy igazgatónak és egy asszisztensnek más jogkörei vannak a munka során. Ez persze nem csak bizalmi, hanem felelősségi kérdés is.
Vannak olyan munkakörök, amik nem igényelnek magas szintű hozzáférést. Gondolj bele, mennyire furcsa lenne, ha mindenki szerkeszthetné az üzleti tervet ugye? A világos és egyértelmű szerepkörök meghatározása az első feladatok egyike.
A szigorúan és pontosan beállított felhasználókezelés könnyen akadályozhat meg adatszivárgást vagy adatlopást. Például más következménye lehet annak, ha egy asszisztenst esik áldozatul egy social engineering támadásnak, mintha egyenesen egy döntéshozó.
Persze egyik eset sem ideális. Azonban a korlátozott jogkör miatt a potenciális kár is korlátozott.
Így védheted meg az érzékeny adatokat
Gondold át jól, mi az amit megosztasz! Különösen azt, hogy kivel osztod meg. Nem csak a bankkártyaszámod számít érzékeny adatnak, hanem a lakcímed, fotóid vagy éppen az aktuális tartózkodási helyed is.
Csak akkor adj ki személyes adatokat, ha biztos vagy benne hogy olyannal osztod meg őket, akinek azt tudnia kell. A Social Engineering ezekben az esetekben is valós veszély, ne hagyd magad átverni! Az ügyfélszolgálatok, vagy a bankod például soha nem fogja kérni a teljes kártyaszámod, vagy a PIN kódodat! Ugyanez érvényes a jelszavakra is.
Vigyázz az adathalász oldalakra és e-mailekre is! Ha valami gyanús, inkább ne kattints rá!