Mi az a szabályszegés?

Manapság elég gyakran hallani új adatvédelmi incidensről. Az adatszivárgásnak azonban számos különböző formája van. Vannak még olyan incidensek is, amelyek egyáltalán nem eredményeznek adatszivárgást. Az adatvédelmi incidens lényege, hogy bizonyos, privátnak szánt adatok nyilvánosságra kerülnek.

Hogyan történik az adatszivárgás?

Az adatszivárgásnak számos különböző módja van. A szokásos feltételezés az, hogy a támadó valamilyen módon hozzáfért egy privát rendszerhez, és letöltötte az adatokat. A belépést általában a hacker szerezné meg, kihasználva bizonyos sebezhetőséget. Ezek közül néhány teljesen új „nulladik napi” támadás, amelyet az áldozatnak nagyon kevés esélye van a sikeres megelőzésére. Sok adatszivárgás azonban annak a következménye, hogy korábban ismert sebezhetőségeket használtak ki olyan rendszerekben, amelyeket nem frissítettek.

Tipp: A „nulladik nap” a vadonban aktívan használt kizsákmányolás, amely korábban ismeretlen volt. A nulladik napra vonatkozó javítások általában nem állnak rendelkezésre azonnal, és ki kell fejleszteni, mielőtt szétosztanák és telepítenék az érintett rendszerekre. Egyes esetekben például elérhető lehet a sérülékeny összetevő letiltása. Ennek ellenére előfordulhat, hogy a szervereknek fel kell lépniük az offline állapotba, szemben azzal, hogy nem tudnak védekezni egy ismert támadás ellen.

Mivel a sérülékenységet az aktív kihasználás előtt nem ismerjük, a nulla napok ellen nehéz védekezni. A mélyreható védekezés általában a legjobb terv. Ez azt jelenti, hogy sok védelmi szinttel kell rendelkeznie, ami azt jelenti, hogy nem valószínű, hogy egyetlen probléma tényleges adatszivárgáshoz vezet.

Az adathalászat az adatszivárgások másik gyakori oka. A támadók megpróbálják rávenni a jogos felhasználókat hitelesítő adataik felfedésére, hogy áldozatuk engedélyével hozzáférhessenek a rendszerhez. A rendszergazdai engedéllyel rendelkező fiókokat és felhasználókat gyakran megcélozzák, mivel általában szélesebb körben férnek hozzá az érzékenyebb adatokhoz.

Bennfentes fenyegetések és inkompetencia

A bennfentes fenyegetések alulértékelt kockázati pont. Egy elégedetlen munkavállaló felhasználhatja jogos hozzáférését nagy károk okozására. Ez a támadás kihasználja azt a tényt, hogy a felhasználó ismeri a rendszert, és tisztességes hozzáféréssel rendelkezik ahhoz, ami megnehezíti azok észlelését és megelőzését.

A hozzá nem értés is oka lehet az adatszivárgásnak. Számos példa van olyan adatszivárgásra, amely abból fakad, hogy egy vállalat anélkül tesz nyilvánossá egy biztonsági mentési adatbázist, hogy észrevette volna. Ebben az esetben a breach kifejezést szinte nehéz igazolni, mivel a cég maga szivárogtatta ki az adatokat, nem egy hacker. Érdemes megjegyezni, hogy jogilag a számítógépes rendszerhez való illetéktelen hozzáférés bűncselekmény.

Ez még akkor is számíthat, ha az adatok véletlenül kerültek nyilvánossá egy rendszerhez való nyílt hozzáférés engedélyezésével. Valószínűleg nem ítélhetik el azért, mert egyszerűen hozzáfért egy nyilvános webhelyhez. Valószínűleg elítélnék, ha megpróbálná letölteni és eladni ezeket az adatokat egy sötét webes fórumon.

Milyen típusú adatokat sértenek fel?

A feltört adatok típusa a megsértett szervezet adataitól és a támadók motivációjától függ. Ez attól is függ, hogy mit sértettek meg. Egyes hackerek olyan adatokat keresnek, amelyeket eladhatnak. Megpróbálnak hozzáférni a felhasználói adatokhoz, különösen a felhasználónevekhez és jelszókivonatokhoz, valamint egyéb személyazonossági adatokhoz és fizetési adatokhoz. Ez a fajta támadás jellemzően a legjelentősebb hatással van az emberekre, mivel ez érinti adataikat és magánéletüket.

Egyes hackereknek oka van, és gyakran olyan adatokat céloznak meg, amelyek részletezik a vélt vagy egyéb visszásságokat. Mások célja a védett vagy titkos adatok ellopása. Ez általában a nemzetállamok és a vállalati kémkedés területe. A legtöbb incidens annyi adatot érint, amennyi hozzáférhetõ azon elmélet alapján, hogy értékes lesz valaki számára, vagy a legitimitás bizonyítékaként kiadható.

Előfordulhat, hogy más incidensek soha nem vezetnek tényleges adatvédelmi incidenshez. Előfordulhat, hogy egy hacker hozzáfér a rendszerhez, és még azelőtt azonosítható és leállítható, mielőtt valódi kárt okozna. Ez ahhoz hasonlítana, mintha a való világban elkapnának egy tolvajt, amikor éppen betörnek. Technikailag biztonsági rés történt, de nem vesztek el vagy szivárogtak ki adatok.

A jogi helyzet

A legtöbb helyen a számítógépes bűnözésre vonatkozó törvények bűncselekményként sorolják fel a számítógépes rendszerhez való „illetéktelen hozzáférést vagy használatát”. Az olyan dolgok, mint a számítógéphez való engedély nélküli hozzáférés technikailag bűncselekménynek számítanak. Ez azt is jelenti, hogy egy olyan rendszerhez való hozzáférés, amelyhez nem kellene hozzáférnie, még akkor is, ha rendelkezik más rendszerekhez való hozzáférési engedéllyel, bűncselekmény. Ez azt jelenti, hogy minden jogsértés bizonyos bűncselekményekkel jár.

Még azokban az esetekben is, amikor a jogsértést közérdeknek tekintik, a kiszivárogtatót büntetőjogi felelősség terhelheti. Egyes esetekben ez bonyolítja a bejelentő ügyeket. A visszaélést bejelentő személyeket gyakran törvény védi, mivel közérdek, hogy igazságtalanságokra derüljön fény. De bizonyos esetekben a bizonyítékok összegyűjtése szükségessé teszi a dolgokhoz engedély nélküli hozzáférést. Ez magában foglalja az adatok engedély nélküli megosztását is. Ez oda vezethet, hogy a visszaélést bejelentő személyek megpróbálnak névtelenek maradni, vagy amnesztiát kérnek személyazonosságuk felfedése érdekében.

Ráadásul annak meghatározása, hogy mi a közérdek, köztudottan nehézkes. Sok hacktivista közérdekűnek tartaná tetteit. A legtöbb személy, akinek az adatait a művelet részeként nyilvánosságra hozzák, nem ért egyet.

Következtetés

Az incidens általában olyan adatvédelmi incidensre utal, amikor bizonyos, privátnak szánt adatok nyilvánosságra kerülnek. A „sértés” kifejezés azonban olyan biztonsági incidensre is utalhat, amely során incidens történt, de nem loptak el adatokat. A megcélzott adatok gyakran értékesek a hackerek számára. Ezek lehetnek eladható személyes adatok, vállalati vagy nemzeti titkok, vagy vélt jogsértés bizonyítékai. Az adatsértések általában a lehető legtöbb adathoz férnek hozzá, feltételezve, hogy minden adatnak van valamilyen értéke.