Usenext i Usenet.NL ujawniają naruszenia danych, ale nie mogą zdecydować, kto jest winny

W dniu 29 kwietnia 2020 r. Dwóch głównych dostawców usług Usenet niemal jednocześnie ujawniło naruszenia bezpieczeństwa swoich systemów. Co ciekawe, komunikaty wysyłane przez UseNeXT i Usenet.nl były prawie identyczne i prawie identycznie niejasne, ogłaszając światu, że dane ich klientów zostały sfałszowane, jednocześnie obwiniając „lukę w zabezpieczeniach w firmie partnerskiej”.

Chociaż nie jest to wiele na wyjaśnienie tego, co się stało, to wszyscy użytkownicy UseNeXT i Usenet.nl otrzymali po tym, jak okazało się, że bezpieczeństwo kluczowych danych, takich jak ich nazwy, adresy rozliczeniowe, szczegóły płatności (IBAN i konto numer) i inne istotne informacje rejestracyjne zostały naruszone.

Chociaż firmy wydały ostrzeżenia i porady dla swoich klientów, na których mogło wpłynąć naruszenie danych, faktem jest, że informacje finansowe ludzi zostały skradzione przez nieujawnionego napastnika, co stawia tych klientów w niepewnej sytuacji. Informacje te mogą zostać wykorzystane do oszukiwania użytkowników oraz ich kontaktów i współpracowników, a także do innych niecnych celów. Powagi sytuacji nie da się przecenić - jednak reakcja obu firm wydaje się wzruszyć ramionami, a wymamrotany „to nie nasza wina”.

Jest to problem obserwowany zarówno przez osoby prywatne, korporacje, podmioty rządowe, jak i organizacje ponadnarodowe. Przepisy muszą jeszcze nadrobić zaległości w zakresie naruszeń danych. Chociaż niektórzy prawodawcy podjęli skoordynowane wysiłki, aby rzucić światło na aspekt ochrony danych związany z naruszeniem ochrony danych, jest to przypadek, w którym regulacje są rzadkie w najlepszym momencie i zazwyczaj - praktycznie nie istnieją.

Interesujące w tym temacie jest to, że nie jest to nowy lub szczególnie nieznany problem - naruszenia danych były problemem od ponad dekady. Poważne rozmowy o tym, jak sobie z nimi poradzić, trwają już od ponad pięciu lat, o czym świadczą takie wydarzenia, jak przesłuchanie Senatu USA w dniach 114–78 w 2015 r. Oraz list senatora USA Catherine Cortez Masto z 2018 r. (D-Nev.) Oraz Senator Amy Klobuchar (D-Minn.) Do dyrektora generalnego Google, wyrażając obawy dotyczące postępowania Google w sprawie naruszenia danych Google+, aby wymienić tylko kilka uderzających przykładów.

W UE wdrożenie RODO zapewniło podjęcie działań w celu szybkiego zgłaszania naruszeń danych krajowym organom nadzorczym, a osoby naruszające RODO podlegają karze grzywny w wysokości do 20 mln EUR lub do 4% rocznych obrotów na świecie, w zależności od tego większy. Wydaje się, że jest to krok we właściwym kierunku i sposób na zapewnienie, że firmy nie ukrywają kluczowych informacji przed swoimi klientami, i to prawdopodobnie dlatego podobne zasady zostały wdrożone w Chile, Japonii, Brazylii, Korei Południowej, Argentynie i Kenii. Tak czy inaczej, nie rozwiązuje głównego problemu, który jest wyraźnie widoczny - naruszenia danych zdarzają się obecnie z alarmującą częstotliwością i wydają się być normą późną. Wiadomości o wyciekach informacji, hackach pojawiają się każdego dnia, a ich znaczenie wydaje się bardzo niedoceniane, pomimo poważnego wpływu, jaki takie zdarzenia mogą mieć na dużą liczbę ludzi.

Co więc można z tym zrobić?

Środki, które firmy mogą podjąć, aby zapobiec naruszeniom danych

Firmy mogą podjąć środki bezpieczeństwa w celu zapobiegania i ograniczania skutków naruszeń danych. Zgłaszanie wspomnianych naruszeń na czas, zgodnie z RODO, jest z pewnością konieczne, ale niewystarczające. Nie można przecenić znaczenia inwestowania w cyberbezpieczeństwo, szczególnie jeśli jesteś celem o wysokiej wartości dla cyberprzestępców. Właśnie dlatego szpitale i małe agencje samorządowe tak często otrzymują szkodliwe ataki, włamania i wycieki - zwykle nie uważają bezpieczeństwa IT za najwyższy priorytet. Należy zdecydowanie ponownie rozważyć to stanowisko, zwłaszcza w świetle obecnych trendów.

Środki, które użytkownicy mogą podjąć, aby zapobiec wyciekowi danych

Pod wieloma względami prywatna odpowiedzialność użytkownika spoczywa również na bezpieczeństwie jego danych. W jaki sposób? Nie oddawaj go firmom, którym całkowicie nie ufasz. Mimo że cele o wysokiej wartości, takie jak Google, Decathlon i Equifax, mogą zostać naruszone, nadal dobrą praktyką jest nieujawnianie ważnych danych osobowych, chyba że absolutnie musisz to zrobić i przeprowadzić badania firmy, zanim przekażesz swoje dane to.

Co użytkownicy mogą zrobić w przypadku naruszenia danych

W przypadku naruszenia prywatności danych należy niezwłocznie podjąć środki, aby zapewnić, że wspomniane dane nie mogą zostać wykorzystane do wyrządzenia Ci szkody, finansowej lub w jakikolwiek inny sposób. Dobrym sposobem na myślenie o tym wydarzeniu jest potraktowanie go tak, jakby ktoś ukradł twoją torebkę ze wszystkimi dokumentami, kartami kredytowymi i kluczami. Musisz natychmiast upewnić się, że do kont bankowych nie można dotrzeć za pomocą sfałszowanych informacji oraz że cyberprzestępcy nie mogą uzyskać dostępu do innych aspektów twojego życia z powodu ich dostępu do twoich informacji. Natychmiastowa zmiana wszystkich haseł i poświęcenie czasu na sprawdzenie działań na tym koncie jest absolutną koniecznością.