Tým WizCase provádí výzkum kybernetické bezpečnosti s cílem upozornit na kybernetické hrozby v kritických globálních odvětvích. V rámci našeho bádání jsme se v nedávné době zabývali úniky dat v lékařském průmyslu a na poli výuky po internetu. Jde o kriticky důležité, a přitom velmi přehlížené sféry. Poté, co jsme se zaměřili na několik specifických odvětví, jsme si řekli, že by asi stálo za to zanalyzovat prolomení bezpečnosti serverů z obecného hlediska. Tato bezpečnostní narušení totiž mohou mít negativní dopad na jakoukoliv společnost, která používá databáze. Za posledních 10 let došlo k více než 300 případům prolomení bezpečnosti serverů, které obsahovaly přes 100 000 záznamů. To je obrovské množství dat, které může způsobit pořádnou katastrofu nejen pro firmy, ale i uživatele.
Nástroj Data Breaches Tracker sleduje a zobrazuje řadu různých proměnných, pomocí kterých určuje závažnost a rozsah bezpečnostních narušení:
Manuálně zadejte časové období, pro které se má zobrazit analýza serverů.
Celkový počet zkontrolovaných serverů v daném časovém období.
Kolik ze skenovaných serverů mělo spuštěnou databázi Elasticsearch.
Kolik databází Elasticsearch zůstalo přístupných bez zabezpečeného ověření.
Kolik procent databází bylo přístupných bez zabezpečeného ověření, vyžadovalo heslo nebo zcela zablokovalo přístup.
Kolik procent zkontrolovaných databází Elasticsearch bylo o velikosti menší než 1 GB, mezi 1 až 100 GB a přes 100 GB.
Počet veřejně přístupných souborů ze všech nechráněných databází Elasticsearch v daném časovém období.rn
Kolik nezabezpečených serverů se stalo terčem útoků typu Meow, které vedly ke krádeži či smazání dat.
V závislosti na typu dat odcizených při narušení bezpečnosti existuje více způsobů, jak lze tato data zneužít proti jejich vlastníkům:
Pokud by pachatelé odcizili údaje o platebních kartách či jiné finanční informace, mohli by tato data zneužít k nezákonnému obohacení; pokud by odcizili citlivé osobní údaje, mohli by je zneužít ke krádeži identity.
Útočníci by mohli získané informace využít k vydírání exponovaných stran, zejména pokud by se dostali k citlivým informacím o zdravotní péči nebo k finančním údajům.
Jsou-li v různých službách používána stejná uživatelská jména a hesla, mohou být odcizené informace zneužity k přístupu k těmto účtům. Případně mohou být použita k přístupu k účtu asociovaném s poskytovatelem služby, která se stala obětí útoku.
Je-li k dispozici dostatečné množství osobních informací, lze je zneužít k vysoce účinným phishingovým útokům a dalším podvodům. Tyto útoky mohou některé lidi přimět k vyzrazení ještě citlivějších údajů, jako jsou například údaje o platební kartě či bankovní informace.
Narušení bezpečnosti nemá vliv jen na ty, jejichž data byla odcizena, ale také na ty, kteří měli zabezpečení těchto dat na starosti. Společnosti, u nichž došlo k narušení zabezpečení dat, se poté častokrát potýkají s různými problémy, mezi které patří:
Vzhledem ke globální povaze mnoha firem znamená narušení zabezpečení dat legislativní problémy hned v několika zemích. To může vést k extrémně vysokým nákladům, které mohou ohrozit i samotnou existenci společnosti.
Ztráta důvěry zákazníků po závažném narušení bezpečnosti bývá obrovská. Klienti spoléhají na to, že jim firmy budou data uchovávat v bezpečí. Pokud se tak nestane, je velká šance, že své podnikatelské aktivity přesunou jinam. Průměrné náklady, které souvisejí se ztrátou klientů po narušení bezpečnosti dat, se pohybují kolem 1,4 milionu amerických dolarů.
Odcizené údaje mohou vést ke značným ztrátám v různých podobách, ať už jde o duševní vlastnictví nebo finanční informace.
Nedodržení nařízení o ochraně údajů je spojeno s přímými náklady v podobě pokut. Například narušení bezpečnosti údajů spravovaných společností Equifax vedlo v roce 2017 k tomu, že jí americká Federální obchodní komise (FTC) uložila pokutu ve výši 700 milionů dolarů.
Úniky obrovského množství dat postihly v minulosti i jedny z největších a nejdůvěryhodnějších společností. Není vlastně překvapením, že v roce 2018 byly na internetu ukradeny nebo zkompromitovány údaje až dvěma třetinám lidí.
Stojí za zmínku, že všechny společnosti, u nichž došlo ke kompromitaci dat, pocházejí z USA, kde jsou průměrné náklady související s narušením bezpečnosti výrazně vyšší než celosvětový průměr, který představuje 8,2 milionu dolarů.
Pokud jde o vaši vlastní bezpečnost, existuje pár věcí, díky kterým můžete případné dopady úniku dat zmírnit.
Pokud používáte stejné heslo na několika různých účtech, narušení bezpečnosti jednoho účtu může dopad i na ty ostatní. Používejte spolehlivého správce hesel, díky němuž budete mít silné a unikátní heslo pro každou službu, kterou používáte.
Pokud máte aktivní dvoufaktorové ověření a při úniku dat dojde k odcizení vašich přihlašovacích údajů, je pro útočníka téměř nemožné získat přístup k vašemu účtu.
Tento nástroj vás upozorní pokaždé, když se vaše osobní informace objeví na webových stránkách shromažďujících odcizená data, v žádostech o půjčku, na sociálních sítích nebo v objednávkách různých veřejných služeb. Jakmile zjistíte, že vaše údaje byly odcizeny, můžete adekvátně reagovat.
Kromě útoků typu Meow existuje celá řada dalších útoků, jejichž cíli jsou servery. Patří mezi ně:
Nástroj Elasticsearch obsahuje řadu mechanismů pro uživatelskou autentizaci, což znamená, že přihlášení a přístup k datům na serveru je umožněn pouze ověřeným uživatelům. To však samo o sobě nestačí. Uživatelé by také měli mít odpovídající oprávnění, aby mohli přistupovat pouze k těm datům, k nimž mají. V nástroji Elasticsearch se tomu říká Role-Based Access Control Mechanism (RBAC), česky „řízení přístupu na základě role“. Každému uživateli je jednoduše řečeno přiřazena určitá „role“ se sadou oprávnění, která určují, co mohou uživatelé s touto rolí používat a měnit.
Zabezpečení dat pochopitelně zahrnuje i další prvky, ale už jen zavedením sofistikovanějšího způsobu autentizace by mnohé servery byly mnohem lépe chráněny.