Įsilaužimas įvyko. Duomenys nutekėjo. Įmonė susimokėjo baudas, atsiprašė klientų, sustiprino apsaugą. Istorija baigta?
Ne. Ji tik prasideda.
Pavogti duomenys neišgaruoja. Jie pradeda savo kelionę – per tamsiuosius interneto užkaborius, per sukčių tinklus, per metus ir dešimtmečius. Tai, kas nutinka po įsilaužimo, dažnai kelia daugiau žalos nei pats incidentas.
Tamsusis turgus
Egzistuoja lygiagreti ekonomika, nematoma eiliniam interneto vartotojui. Darknet forumuose ir uždaruose kanaluose prekiaujama viskuo – ir duomenys yra viena pelningiausių prekių.
Kainų sąrašas gali nustebinti. Pilnas asmens duomenų rinkinys – vardas, adresas, gimimo data, asmens kodas – kainuoja vos kelis eurus. Banko kortelės duomenys – nuo 10 iki 100 eurų, priklausomai nuo limito. Prisijungimo prie el. pašto ar socialinių tinklų kredencialai – pora eurų už vienetą.
Masiniai nutekėjimai parduodami „didmena” – šimtai tūkstančių įrašų už kelis šimtus eurų. Pirkėjams tai investicija, kuri atsiperka dešimteriopai.
Tapatybės vagystė: lėta katastrofa
Įsivaizduokite: kažkas kita šalyje paima paskolą jūsų vardu. Arba atidaro įmonę. Arba perka automobilius. Jūs apie tai sužinote po metų – kai antstoliai ima siųsti laiškus.
Tapatybės vagystė – vienas dažniausių pavogtų duomenų panaudojimo būdų. Ir vienas sunkiausiai ištaisomų. Įrodyti, kad tai ne jūs paėmėte paskolą, užtrunka mėnesius. Sutvarkyti kredito istoriją – metus. O psichologinis stresas neišmatuojamas.
Lietuvoje tokių atvejų daugėja kasmet. Ir dažniausiai aukos net nežino, iš kur sukčiai gavo jų duomenis – galbūt iš nutekėjimo, įvykusio prieš trejus metus, apie kurį jau visi pamiršo.
Tikslinės atakos: kai duomenys tampa ginklu
Masiniai duomenys parduodami pigiai. Bet kai kurie duomenys verti aukso – ir jie naudojami kitaip.
Įmonių vadovų el. paštai, vidinė korespondencija, finansiniai dokumentai – tai medžiaga šantažui arba socialinei inžinerijai. Sukčius, žinantis jūsų verslo detales, gali parašyti įtikinamą laišką „nuo partnerio” su prašymu pervesti pinigus. Arba paskambinti buhalterijai apsimesdamas direktoriumi.
Sveikatos duomenys – atskira kategorija. Diagnozės, recepto vaistai, vizitai pas specialistus – informacija, kuria galima manipuliuoti, gąsdinti, spausti. Politikams, verslininkams, viešiems asmenims tai košmaras.
Žvejyba su tiksliu taikymu
Bendriniai phishing laiškai – „Jūsų banko sąskaita užblokuota” – veikia vis prasčiau. Žmonės išmoko juos atpažinti. Tačiau personalizuotas phishing – visai kita istorija.
Kai sukčius žino jūsų vardą, darbovietę, kolegas, pirkimo įpročius – jis gali sukurti laišką, kuris atrodo absoliučiai tikras. „Sveiki, matau, kad vakar užsakėte iš mūsų parduotuvės. Dėl pristatymo kilo problema – prašome patvirtinti adresą.” Ir nuoroda į svetainę, identišką originalui.
Tokie duomenys ateina iš ankstesnių nutekėjimų. Kiekvienas įsilaužimas į e-parduotuvę, lojalumo programą, forumą – tai cegiuotė būsimoms atakoms.
Korporacinė žvalgyba
Ne visi duomenų pirkėjai – eiliniai sukčiai. Kai kurie – konkurentai. Pramoninė žvalgyba egzistuoja, ir pavogti duomenys – vienas jos įrankių.
Klientų sąrašai, kainodaros strategijos, derybų pozicijos, produktų planai – informacija, už kurią konkuruojančios įmonės pasiruošusios mokėti. Ir nors oficialiai niekas to nepripažįsta, juodoji rinka tenkina ir šią paklausą.
Todėl duomenų apsauga – ne tik klientų privatumo klausimas. Tai konkurencinio pranašumo klausimas.
Duomenys negali būti „atšaukti”
Čia slypi didžiausia problema. Kai duomenys nutekėjo – jie nutekėjo amžinai. Negalite pakeisti savo gimimo datos. Negalite pakeisti asmens kodo. Net pakeitus el. paštą ar telefono numerį – seni duomenys vis dar egzistuoja kažkur.
Duomenų bazės kopijuojamos, perparduodamos, sujungiamos su kitomis bazėmis. Po penkerių metų vienas sukčius gali turėti informaciją iš dešimties skirtingų nutekėjimų – ir sukonstruoti pilną jūsų skaitmeninį portretą.
Štai kodėl prevencija tokia svarbi. Štai kodėl kibernetinis saugumas – ne vienkartinė investicija, o nuolatinis procesas. Duomenis apsaugoti lengviau nei atstatyti reputaciją po nutekėjimo.
Įmonės perspektyva
Kai įmonė praranda klientų duomenis, ji praranda ne tik informaciją. Ji praranda pasitikėjimą. Klientai, sužinoję apie incidentą, klausia: „Kodėl mano duomenys nebuvo apsaugoti?”
Atsakymas „investavome į apsaugą po incidento” niekam neįdomus. Žala jau padaryta. Klientai jau išėjo pas konkurentus. Reputacija jau pažeista.
Organizacijos, kurios rūpi serverių priežiūros paslaugos ir saugumo sprendimai iš anksto, išvengia šio pokalbio. Ne todėl, kad yra neįveikiamos – o todėl, kad daro viską, kas įmanoma, kad apsaugotų tai, kas joms patikėta.
Ką galite padaryti dabar
Jei esate verslo vadovas – užduokite savo IT komandai kelis klausimus. Kokie duomenys saugomi? Kas prie jų turi prieigą? Kaip jie apsaugoti? Ar turime incidentų valdymo planą?
Jei esate eilinis vartotojas – patikrinkite, ar jūsų duomenys nebuvo nutekinti. Svetainės kaip „Have I Been Pwned” leidžia sužinoti, ar jūsų el. paštas figuruoja žinomuose nutekėjimuose. Jei taip – keiskite slaptažodžius, įjunkite dviejų faktorių autentifikaciją.
Tai ne paranoja. Tai realybė, kurioje gyvename.
Galutinė mintis
Duomenys šiandien – vertingesni nei nafta. Ir kaip nafta, jie turi savo kasyklas, naftos perdirbimo gamyklas ir degalines. Tik ši industrija veikia šešėlyje, maitinama mūsų neatsargumu ir organizacijų aplaidumu.
Kiekvienas nutekėjimas – ne pavienė istorija. Tai nauja žaliava sistemai, kuri maitinasi mūsų informacija. Vienintelis būdas sustabdyti šią grandinę – neleisti duomenims nutekėti pirmiausia.
