Pohled na statistiky narušení dat v roce 2020

Rok 2020 se ukázal jako náročný ze všech hledisek. Vzhledem ke zdravotní krizi způsobené pandemií COVID-19, která narušila celosvětovou ekonomiku a ochromila mnoho odvětví, byla kybernetická bezpečnost možná to poslední, na co kdo myslel. Mnoho škodlivých aktérů však využilo chaosu k tomu, aby způsobili spoušť a vydělali na uvolnění úsilí v oblasti kybernetické bezpečnosti. V důsledku toho byl rok 2020 hvězdným rokem z hlediska úniků dat a pokut od regulačních orgánů.

Urychlené přijetí rozsáhlých zásad práce na dálku ve všech odvětvích podnikání vytvořilo velké mezery v kybernetické bezpečnosti, což vedlo k nárůstu bezpečnostních incidentů. Podle studie společnosti Malwarebytes zabývající se kybernetickou bezpečností Enduring from Home: V roce 2020 se pracovníci na dálku stali zdrojem téměř 20 % kybernetických bezpečnostních incidentů. Mezi společnostmi, které odpověděly na jejich průzkum, čelilo 24 % také neočekávaným výdajům spojeným přímo s kybernetickými útoky a narušením bezpečnosti, k nimž došlo kvůli práci z domova.

Zpráva také ukázala znepokojivý trend mezi vzdálenými pracovníky používat svá osobní zařízení namísto těch firemních. 27,7 % respondentů uvedlo, že používají svá osobní zařízení častěji než zařízení poskytovaná pracovištěm, a dalších 31,2 % přiznalo, že občas používají k práci osobní zařízení. Pouze 39,1 % respondentů striktně používalo k plnění svých pracovních povinností pouze zařízení poskytnutá pracovištěm.

Některé z hlavních obav firem, pokud jde o práci na dálku, se týkaly většího vystavení zařízení doma, kde k nim mohou mít přístup neoprávněné osoby, obtížné správy zařízení využívajících prostředky pro práci na dálku, stínového IT a snížení efektivity IT podpory prováděné na dálku. To vše v situaci, kdy pouze 61 % společností poskytlo zaměstnancům zařízení pro práci z domova a 45 % neprovedlo analýzu zabezpečení a ochrany soukromí online softwarových nástrojů, které implementovaly pro přechod na práci z domova.

Hlavní příčiny narušení bezpečnosti dat

Podle zprávy IBM a Ponemon Institute Cost of a Data Breach 2020, v níž bylo dotazováno 3200 osob pracujících pro 524 organizací v 17 zemích a regionech, bylo 52 % všech narušení bezpečnosti dat způsobeno zákeřnými cizími osobami, dalších 25 % systémovými chybami a 23 % lidskou chybou. Nejčastěji ztraceným nebo odcizeným typem záznamu byly osobní údaje zákazníků, které tvořily 80 % všech případů narušení bezpečnosti údajů. To není překvapivé, protože osobní údaje jsou vzhledem ke své citlivosti nejcennějším typem údajů. V důsledku toho je to také typ údajů, který je nejčastěji chráněn předpisy o ochraně osobních údajů.

Kompromitované pověření a chybná konfigurace cloudu byly zodpovědné za 19 % škodlivých úniků dat, dalších 16 % připadá na zranitelnosti softwaru třetích stran. Lidská chyba také nebyla jediným způsobem, jak zaměstnanci přispěli k narušení bezpečnosti dat. Zlomyslní zasvěcenci byli hlavní příčinou 7 % případů narušení bezpečnosti dat, přičemž sociální inženýrství a phishingové útoky zaměřené přímo na zaměstnance představovaly dalších 17 %.

V některých odvětvích se také ukázalo, že zaměstnanci jsou nedbalejší než v jiných. Na prvním místě žebříčku se umístil zábavní průmysl, kde 34 % všech úniků dat způsobili neopatrní zaměstnanci, následovaný veřejným sektorem a sektorem spotřebních výrobků, kde lidská chyba způsobila 28 % úniků dat. V odvětví zdravotní péče byla navzdory přísným předpisům nedbalost zaměstnanců zodpovědná za 27 % všech případů narušení bezpečnosti údajů. Na opačném konci spektra, v dopravě, bylo pouze 13 % případů narušení bezpečnosti dat způsobeno lidskou chybou, zatímco v maloobchodě a technice to bylo 17 %.

GDPR pokuty se stále zvyšují

Zatímco prosazování některých předpisů na ochranu dat, jako je například HIPAA v USA, bylo kvůli pandemii zmírněno, evropské agentury na ochranu dat pokračovaly ve své práci bez omezení. Letošní rok přinesl řadu rekordních pokut kvůli nedodržování obecného nařízení EU o ochraně osobních údajů. K dnešnímu dni bylo letos uděleno 281 pokut v celkové výši přes 162 milionů eur.

Nejhůře dopadla společnost Google, jejíž odvolání proti pokutě ve výši 50 milionů eur od francouzského úřadu pro ochranu osobních údajů CNIL bylo zamítnuto nejvyšším soudem země a švédský úřad pro ochranu osobních údajů udělil tomuto technologickému gigantu další pokutu ve výši 7 milionů eur za nedodržení práva jednotlivce být zapomenut.

V říjnu 2020 udělil Úřad pro ochranu osobních údajů v německém Hamburku druhou nejvyšší pokutu za porušení GDPR ve výši přibližně 35 milionů eur maloobchodnímu prodejci oděvů H&M za nahrávání schůzek se zaměstnanci, během nichž byly zveřejněny citlivé informace, a jejich následné interní sdílení mezi manažery.

Britská letecká společnost British Airways dostala pokutu 22 milionů eur za to, že kvůli špatným opatřením v oblasti kybernetické bezpečnosti nezabránila úniku dat, který postihl 400 000 zákazníků. Společnost Marriott mezitím dostala pokutu ve výši 20,4 milionu eur za spektakulární únik dat, který se dotkl 83 milionů záznamů o hostech a byl důsledkem nedostatečné péče po akvizici skupiny Starwood, která stála u zrodu incidentu.

Závěrem

Pokud společnosti čelí potížím způsobeným pandemií COVID-19, je nezbytné, aby nezanedbávaly kybernetickou bezpečnost. Škodliví aktéři vždy hledají příležitosti k zisku a v letošním roce tomu nebylo jinak. Současně se sice úřady pro ochranu osobních údajů projevily vzhledem k aktuálním okolnostem shovívavěji, ale v případě zjištění hrubého zanedbání požadavků na ochranu osobních údajů se nezdržovaly uplatňováním do očí bijících sankcí.

Všechny tyto skutečnosti ukazují, že kybernetická bezpečnost, která byla ještě před několika lety v mnoha organizacích považována za podružnou, je nyní zásadní součástí podnikových činností a již nenastane doba, kdy by bylo přijatelné ji zanedbávat.