Hackeři se zaměřují na osobní údaje a data o zaměstnancích
Osobní údaje a údaje o zaměstnancích jsou zlatým dolem pro hackery, kteří se nyní zřejmě zaměřují na získávání těchto typů údajů více než na jiné, tvrdí nový výzkum.
Zpráva společnosti Imperva, která analyzuje 100 zpráv o narušení bezpečnosti dat zveřejněných v posledních 12 měsících, uvádí, že osobní údaje zaměstnanců a zákazníků tvořily téměř polovinu (45 %) všech dat ukradených v loňském roce.
Podle společnosti Imperva se kyberzločinci zaměřují na osobní údaje, protože tyto údaje mohou být použity při krádeži identity a podobných útocích. Ty mohou být podle Terryho Raye, viceprezidenta společnosti Imperva, „nesmírně výnosné a je velmi obtížné jim zabránit“.
Sociální inženýrství a nezabezpečené databáze
„Kreditní karty a hesla lze změnit ve chvíli, kdy dojde k narušení bezpečnosti, ale v případě krádeže osobních údajů může trvat roky, než je hackeři využijí jako zbraň,“ dodal Ray.
Přestože krádeže zdrojových kódů a proprietárních dat často plní titulky novin, nejsou tak populární – představují pouze 6,7 %, resp. 5,6 %. Dobrou zprávou je, že podniky se v ochraně platebních informací a údajů o heslech zlepšily, protože úniky tohoto typu dat meziročně klesly o 64 %.
Nejčastěji jsou úniky dat důsledkem útoků sociálního inženýrství (17 %) nebo útoků na nezabezpečené databáze (15 %). Špatně nakonfigurované aplikace se na všech únicích dat podílely zhruba 2 %, ale podniky očekávají, že tento formát bude v budoucnu hrát větší roli, a to především kvůli nárůstu infrastruktury spravované v cloudu, jejíž bezpečnostní konfigurace vyžaduje značné odborné znalosti.
Pro společnost Ray jsou tyto výsledky poněkud překvapivé, protože nezabezpečené databáze a útoky sociálního inženýrství je „jednoduché zmírnit“.
„Veřejně otevřená databáze dramaticky zvyšuje riziko narušení a až příliš často jsou takto ponechány nikoli ze selhání bezpečnostních postupů, ale spíše z úplné absence jakéhokoli bezpečnostního postoje.“
Podle společnosti Imperva existuje šest nejčastějších přehmatů, které vedou k narušení bezpečnosti dat, včetně absence vícefaktorové autentizace (MFA), omezeného přehledu o všech datových úložištích, špatných zásad pro hesla, špatně nakonfigurované datové infrastruktury, omezené ochrany před zranitelnostmi a nepoučení se z minulých chyb.