Csődbe is mehetne a Google az adatlopási botrány után

A napokban bejárta a világsajtót a hír, hogy illetéktelen kezekbe jutott rengeteg Google-felhasználó adata. Ezt az informatikai óriás megerősítette, ráadásul kijelentette: még márciusban észlelték a problémát, de erről sem a közvéleményt, sem a felhasználókat nem értesítették.

A vállalat ugyanis félt az ügy következményeitől.

Az adathalászok „jó munkát” végeztek, egy biztonsági résnek köszönhetően ugyanis 2015-től egészen 2018 márciusáig garázdálkodhattak szabadon a Google rendszerén belül. Ez idő alatt összesen 496 951 felhasználó teljes nevéhez, e-mail-címéhez, születési dátumához, lakhelyinformációjához, kapcsolati adataihoz, foglalkozásához és profilképéhez jutottak hozzá. A probléma ráadásul súlyosabbá válik a ténytől, hogy a Google összesen 438 olyan külső alkalmazást azonosított, melyek akkor is hozzáfértek ezekhez az adatokhoz, ha a felhasználó azt nem engedélyezte.

Felmerül a kérdés, hogy az ilyen adatlopási ügyek hogyan érintik a magyar, vagy akár a világ vállalatait. Főleg annak fényében, hogy nemrég a Facebook keveredett hasonló kálváriába.

A számítógépes vírusok, kártevők a látványos külsőségekkel járó hőskoruk után – képernyőn átszáguldó mentőautó, lepotyogó karakterek, a Yankee Doodle lejátszása a hangszóróból – abba az irányba fejlődtek, hogy minél jobban rejtve maradjanak, és csendben, hosszú időn át kémkedjenek, adatokat lopjanak a megfertőzött eszközről

– mondta el a VG.hu megkeresésére Csizmazia-Darab István a Sicontact Kft. IT biztonsági szakértője. Hozzátette, a lopott adatok komoly értéket jelenthetnek a cég konkurenciájának, jó pénzt fizetnek érte a darkneten, illetve érzékeny veszteséget jelent a megtámadott cégeknek. „Részben az ellopott bizalmas információk okán, részint a cég hírnevének csorbulása miatt.”

Érdemes megemlíteni, hogy az adathalászási ügyek nem húzhatóak rá csupán a Google-re vagy éppen a Facebookra. Évről évre egyre nagyobb kihívást jelent ugyanis az adatszivárgás elleni hatékony védelem, illetve a már bekövetkezett incidensek megfelelő kezelése és annak kommunikációja a nyilvánosság felé.

Ez utóbbi ráadásul gyakran hiányos és kritizálható, főleg miután az áldozatul esett cégek titkolóznak, kozmetikázzák az őket ért kár mértékét.

Ennek ugyanakkor drasztikus következményei lehetnek, legalábbis Csizmazia-Darab István példájából ítélve. A szakember ugyanis kifejtette: 2011-ben éppen a holland DigiNotarról derült ki egy vizsgálat kapcsán, hogy nem csak egyszerű feltörés áldozatává vált, hanem a sikeres behatolással a cégen belüli kritikus fontosságú, a tanúsítványokat kibocsátó rendszerbe is sikerült bejutniuk a támadóknak. Ennek ellenére csak belső vizsgálat zajlott az ügyben, a cég pedig nem is értesítette partnereit, mivel szerintük az incidensnek csak minimális hatása volt.

Az utólagos vizsgálatok végül rámutattak: erre a cég nem is lett volna képes, miután a támadást hónapokig egyáltalán nem is vették észre.

A DigiNotar titkolózása viszont – mint az utóbb kiderült – súlyos és drága hibává vált, a támadók ugyanis több száz hamis tanúsítványt állítottak ki illetéktelenül. A botrány napvilágra kerülése után így ezeket vissza kellett vonni, majd pár hónapra rá az egész cég belebukott a történetbe. „A felszámolás után még abban az évben csődbe mentek” – mondta Csizmazia-Darab.

Naponta több millió adatot lopnak el

Az adatlopás mértéke igencsak súlyos szerte a világban, a Breach Level Index beszámolójából (a cég 2013 óta gyűjt információkat a különböző adatlopásokról) ugyanis egyértelműen látszik, hogy 2017. első felében több adat (1,9 milliárd) került illetéktelen kezekbe, mint az egész 2016-os évben (1,37 milliárd). Ez azt is jelenti, hogy hozzávetőlegesen átlag 10 millió adatrekordot tulajdonítanak el naponta. Leginkább a külső támadók jelentenek veszélyt az adatokra (74 százalék), de belső munkatársak által bosszúból vagy anyagi haszonszerzésből elkövetett, illetve támogatott akcióból is sokszor (8 százalék) történik adatszivárgás.

Az adatok feketepiacra kerülése, a vállalati titkok publikussá tétele tehát kellemetlen véget érhet minden vállalat számára. Az idén május 25-én életbelépő General Data Protection Regulation (GDPR) összeurópai egységes adatvédelmi jog életbelépésével viszont kevésbé van miért aggódniuk a cégeknek, semmilyen adathalász nem maradhat ugyanis büntetlenül. Az elkövetők akár 10 millió eurós közigazgatási bírságot, vagy a hekkercég éves bevételnének 4 százalékát veheti el a hatóság büntetésként.

Az „egy kontinens, egy jog” elvnek megfelelően minden uniós országban elvárás lett a belépések és jelszavak védelme, titkosítása, és minden személyes adatot érintő incidenst 72 órán belül be kell már jelenteni. A bizonyítási teher viszont a cégeken lesz, hogy a biztonsági intézkedések során mindent a szabályoknak megfelelően végeztek.

A szigorításnak örülhetnek a személyes adataikat féltő magánszemélyek, de aggódhatnak a vállalkozások, hogy az előírásoknak eleget tudjanak tenni

– hangsúlyozta Csizmazia-Darab István. Hozzátette, az előírások mellett érdemes figyelniük a vállalkozásoknak a megelőzésre, ez a legfontosabb. „A vállalatok számára elkerülhetetlen, hogy mindig erre tegyék a hangsúlyt, mivel azt már jól látjuk, hogy az informatikai biztonságra, védelemre történő költés elkerülhetetlen záloga a cégek üzletmenetének folytonosságában, biztonságuk védelmében” – fűzte hozzá a szakember.