Vyjádření společnosti ANECT k narušení bezpečnosti Equifax

Nedávný hackerský útok na jeden z hlavních amerických úvěrových registrů Equifax, který vzbuzuje spoustu otázek, upozorňuje na v dnešní době poměrně častý problém – zatajování kybernetických hrozeb. Narušení, při němž útočníci zneužili bezpečností chyby a získali data o cca 143 milionech klientů této společnosti, komentuje Ivan Svoboda, poradce pro informační a kybernetickou bezpečnost společnosti ANECT a.s.

Jak je možné, že za poslední rok se téměř každý týden objevuje nějaký nový velký únik osobních údajů?

Jako jeden z hlavních důvodů mohu uvést, že úspěšné útoky se objevují stále častěji proto, že útočníci jsou čím dál tím lepší a používají sofistikovanější metody, především včetně různých forem sociálního inženýrství. Jejich náskok před obránci se tak bohužel stále zvětšuje. Současně se po celém světě zvětšuje tlak na firmy, aby útoky tohoto typu nezatajovaly, ale přiznaly veřejně, což je také jeden z cílů zavedení nového evropského nařízení GDPR. Proto se dnes dozvídáme o útocích, které se staly před pár lety, respektive které před mnoha lety zůstaly utajeny.                                     

S jakými jinými případy úniku dat můžeme narušení bezpečnosti Equifaxu srovnat?

Co do objemu uniklých dat se nejedná o největší počet zasažených osob. Nicméně v kombinaci s konkrétními typy údajů a jejich hodnotou patří útok na Equifax mezi ty nejzávažnější.  Největší byl přitom v minulosti případ s Yahoo, kde došlo k úniku celkově cca jedné miliardy údajů.

 

V souvislosti s hodnotou a citlivostí jednotlivých údajů jde o celkem běžná data, jako třeba obdobu našich rodných čísel apod. V jejich kombinaci s osobními adresami, jmény uživatelů atd. však vytvářejí optimální směs pro úspěšné návazné útoky na krádež identity. U většiny dat ale bohužel v tuto chvíli neexistuje možnost jejich „resetu“, jako existuje např. u hesel, bankovních účtů apod. I z toho důvodu se proto v USA i u nás v ČR již mnoho let diskutuje a doporučuje namísto používání rodných čísel a dalších identifikačních údajů osob využívat tzv. bezvýznamné a resetovatelné údaje.

 

Prozatím nejsou zveřejněny kompletní detaily rychlosti detekce úniku dat, ale zdá se, že byl únik detekován až po několika měsících od útoku (květen až červenec). Na první pohled to pro někoho možná může být nepředstavitelné – je to třeba jako kdyby vám po domě běhal zloděj, ale vy byste si toho všimli až po pár měsících. Nicméně ve skutečnosti je tento stav zcela standardní a konkrétně tento případ potom patří mezi lepší průměr. Průměrná doba detekce útoku se totiž v současnosti pohybuje v rozmezí 90 až 200 dnů. Například americká zdravotní pojišťovna Anthem, které v minulosti uniklo 80 milionů záznamů, zjistila únik svých dat až po 11 měsících.

Ke zveřejnění úniku na Equifax pak došlo až po několika měsících od jeho detekce (červenec až září), což v dnešní době rovněž odpovídá průměru.

Equifax vs. Yahoo a Anthem

V letech 2013 a 2014 došlo ke dvěma masivním únikům dat, celkem šlo o cca miliardy údajů. Společnost Yahoo, která o data přišla, se několik měsíců až let snažila tyto případy utajit a až v roce 2016 je pod tlakem odtajnila.

V roce 2015 pak společnost Anthem odhalila velký únik dat, a to až po 11 měsících od samotného útoku. Na rozdíl od Yahoo a Equifaxu však okamžitě zahájila plné vyšetřování a napravování škod, které zveřejnila v plném rozsahu. Během pouhých tří dnů tak zvládli komplexní proces incidentu.

Jaké si z tohoto případu mohou vzít ponaučení české firmy a organizace státní správy?

Každý podnik by si měl zprvu zodpovědět otázku, kolik má ve svých systémech vůbec osobních údajů. Z našich dosavadních analýz a datových inventur totiž vyplývá, že většina firem dnes nemá zcela kompletní představu o tom, jaká data a jaký objem jich zpracovává. Vedle toho je pak důležité zjistit, jakou mají tyto osobní údaje hodnotu. Samotná analýza hodnoty těchto dat a souvisejících rizik jejich úniku se přitom zaměřuje nejen na to, jakou cenu mají data pro samotné subjekty údajů, ale také pro potenciální útočníky a v nespolední řadě i pro celou společnost.

V případě zjištění, že celková kombinace vašich dat představuje vysoké riziko úniku, je nutné se zamyslet nad následujícími otázkami:

  1. Jaká je rychlost detekce úniku dat? Tedy, jak rychle jste schopni zjistit (pokud vůbec), že došlo k nějaké nežádoucí operaci s osobními údaji (např. přístup hackera, vniknutí malware, vlastního zaměstnance apod.)?
  2. Do jaké míry jste připraveni na situaci, že k takovému bezpečnostnímu narušení dojde? To znamená – máte podrobně zpracovaný tzv. incident response plán? A víte přesně, kdo v této situaci zareaguje a jakým způsobem?

Veškeré plány je přitom nutné si předem otestovat, zda jsou plně funkční a jsou schopni ochránit váš systém, respektive včas a rychle detekovat případnou hrozbu.

Závěrem

Tato událost nejen potvrzuje oprávněnost zavedení legislativy typu GDPR pro zajištění včasného upozornění uživatelů, ale nepřímo ukazuje i na klíčovou problematiku jednoznačné identifikace ve světě elektronických komunikací.

Mechanismy a postupy, které pro naši identifikaci v elektronickém světě používáme, jsou do jisté míry alternativami toho, co dnes standardně používáme ve „fyzickém“ světě. Tyto metody však byly dlouhodobě vyvíjeny v souladu s rozvojem fyzické společnosti. Elektronický svět je ale v porovnání s ním v mnoha ohledech unikátní a ne vše v něm funguje stejně tak, jak jsme zvyklí.

Dokud bude elektronická identita pojímána jako atribut té fyzické (např. číslo sociálního zabezpečení jedné fyzické osoby), budeme se stále potýkat s důsledky podobných masivních úniků identifikačních dat. Řešením je přitom zavedení elektronické identity jakožto samostatné a nezpochybnitelné reprezentace určitého fyzického subjektu, který je s touto identitou spojen pouze prostřednictvím jejího atributu. Pouze tehdy nebude možné zcizením jediného čísla zneužít identifikaci konkrétní fyzické osoby pro komunikaci v elektronickém světě.

Jelikož jde ale o evoluci jednoho z klíčových principů elektronického světa, je právě tato „změna“ oním kamenem úrazu. A ačkoliv jsou technologie pro její realizaci již plně dostupné, její zavedení je otázkou setrvačnosti nastavených procesů a společenské neochoty přijímat zásadní změny. Před zrozením našeho skutečně virtuálního já, které se s námi narodí i zemře, tedy bude k podobným únikům docházet nestále.