Svojho času preletel médiami článok, ktorý bol pôvodne uverejnený portáli BBC pod bombastickým názvom “Nariadenie GDPR zneužité na odhaľovanie osobných údajov”. Správny názov však mal byť “Sociálny inžiniering sa môže týkať aj vás”.
Ako uvádza definícia na webe CSIRT.SK , sociálny inžiniering alebo sociálne inžinierstvo je jedným z najefektívnejších nástrojov pre získavanie citlivých informácií zo zabezpečených systémov. Nevyžaduje takmer žiadne technické schopnosti a napriek tomu je s jeho využitím možné exfiltrovať informácie aj z technicky dobre zabezpečených informačných systémov. Je to možné vďaka tomu, že sa tento typ útoku zameriava na jednu z najzávažnejších a najrozšírenejších zraniteľností – na človeka.
Čo sa teda stalo, o čom reportoval článok na BBC? V skratke, študent Oxfordskej univerzity, James, sa dohodol so svojou snúbenicou, že v rámci experimentu sa pokúsi zistiť jej osobné údaje, ktoré sa nachádzajú v rôznych inštitúciách.
Pýtate sa, ako je možné, že zákon, ktorý má vaše údaje chrániť, ich ponúka cudzím ľuďom? Odpoveď je veľmi jednoduchá! GDPR dáva dotknutým osobám práva:
- Právo na informácie: máte právo vedieť, aké údaje o vás spoločnosť spracúva, odkiaľ ich získala, na aký účel ich zamýšľa používať a na akom právnom základe, či ich zamýšľa prenášať do zahraničia, s kým ich zdieľa, a aké sú lehoty na výmaz
- Právo na opravu: máte právo požadovať od spoločnosti, aby vaše osobné údaje boli správne
- Právo na prenos: v prípade automatizovaného spracovania máte právo na to, aby vaše údaje boli prenesené v štandardnom elektronickom formáte do inej spoločnosti
- Právo namietať spracúvanie: nie je to síce právo absolútne, ale predsa len, za určitých okolností máte právo namietať určité spracovateľské operácie
- Právo na výmaz: podobne ako právo na obmedzenie spracúvania, nie je absolútne, ale za určitých okolností aplikavateľné
Nariadenie GDPR zaväzuje prevádzkovateľa, aby svoje povinnosti splnil bez zbytočného odkladu, najneskôr však do 30 dní a bezodplatne, ak ide o prvú požiadavku danej dotknutej osoby. Takže, ak od vás ako od firmy dotknutá osoba žiada informáciu, opravu, výmaz alebo namieta spracúvanie, tak musíte reagovať, inak vám hrozí, že sa naštvaná dotknutá osoba obráti na dozorný orgán a to nikomu netreba.
Riešenie a problémy pri aplikácii
Zdá sa, že riešenie je jednoduché:
- nastaviť proces a kritéria overovania identity dotknutej osoby
- zaškoliť zamestnancov
- stanoviť si bezpečnosť a ochranu osobných údajov ako prioritu
Takže vlastne nič nové pod slnkom, toto fungovalo už pred GDPR. Ak zamestnanec, či už je to recepčná alebo ktokoľvek iný, nevie žiadateľa (dotknutú osobu) dôveryhodne identifikovať, tak požadovanú informáciu nesmie poskytnúť. K tomu potrebuje poznať ten proces a pokojne žiadateľovi vysvetliť, ako jeho žiadosť o informácie spracuje.
Problémom tohto riešenia je, že ľudia spravidla nedodržiavajú predpisy, respektíve predpísané postupy. A to je občas nebezpečné. A môže to byť aj drahé, pokiaľ svojim nerozvážnym konaním spôsobia zamestnávateľovi škodu. Ako bývalý headhunter, ktorý zisťoval pre klienta podstatné skutočnosti dlho pred rozšírením internetu a nástupom sociálnych sietí na scénu, by som vedela rozprávať, čo všetko vám ľudia povedia, aj keď nesmú.
Social Engineering je stále v hre
Potvrdzuje to aj príbeh tohto nášho výskumníka z Oxfordu. Dôležité je povedať, že počas svojho pokusu nevytváral falošné potvrdenia, nepodpisoval dokumenty menom svojej snúbenice, neposielal e-maily so záhlaviami sfalšovanými tak, aby to vyzeralo ako e-mail do dotknutej osoby. Myslím, že ak by šiel až tak ďaleko, jeho úspešnosť by bola oveľa vyššia.
Namiesto toho sa mu podarilo presvedčiť spoločnosti, ktoré žiadali silné ID, ako napríklad pas alebo vodičák, aby akceptovali náhradné dokumenty. Napríklad namiesto požadovanej fotokópie pasu presvedčil zamestnanca vlakového prevádzkovateľa, aby akceptoval poštou riadne opečiatkovanú obálku na adresu svojej snúbenice. V inom prípade spoločnosť akcpetovala fotografiu bankového výpisu ktorý bol vybielený tak, že jediné viditeľné informácie boli meno a adresa.
Riešenie, ktoré bude fungovať
Zamestnanci preberajú prístup a správanie vedúcich pracovníkov. Ak zamestnanci vidia, že ochrana osobných údajov je pre manažment na smiech alebo vyslovená otrava, tak aj oni budú brať svoje povinnosti súvisiace s ochranou osobných údajov len ako čosi, čo musia urobiť pro forma. Potom je len otázkou času, kedy nastane prvý vážnejší problém a koľko vás to bude stáť.
Keď už si teda niečo dohodnete a popíšete, tak to aj dodržujte a vymáhajte dodržiavanie. V korporátnom jazyku – implement & enforce. Ak sa to dodržiavať nedá, tak je to zle popísané a treba to aktualizovať. A ak sa vám zdá, že všetko je v poriadku, tak si skúste urobiť aspoň raz za rok inventúru vo vlastných smerniciach, vyhodiť alebo prepísať tie, ktoré už doslúžili.
Na zamyslenie:
- Máme klasifikovanú dôverenosť dokumentov, a ak áno, tak sú klasifikované správne?
- Ako kontrolujeme dodržiavanie dôvernosti?
- Kto bude overovať identitu dotknutej osoby?
- Ako ju bude overovať?
- Aké nástroje mu k tomu potrebujeme zabezpečiť?
- Sú tie nástroje bezpečné?
- Kto za bezpečnosť nástrojov a overovacích kritérií bude zodpovedať?
- Ako a kto zaškolí zamestnanca/ zamestnancov?
- Ako často budeme preškoľovať a prehlbovať tieto zručnosti?
Strácate sa v tom? Mňa vaše GDPR baví a verím, že môže baviť aj vás. Kontaktujte ma.