Nem tesznek meg mindent adataik védelmében a cégek

A szervezetek adatvédelmi szándékai és a valóság között jókora szakadék tátong. Valójában az érzékeny személyi adatok -- név, cím, születési idő, faji hovatartozás, személyi azonosító számok, orvosi leletek -- egyáltalán nincsenek akkora biztonságban, mint azt maguk az őket kezelő cégek gondolják.

Miközben a cégek úgy érzik: kellően védik ügyfeleik adatait, kívülről nézve más a kép. Az Accenture és a Ponemon Intézet közös kutatásában a megkérdezett szervezetek háromnegyede nyilatkozott úgy, hogy megfelelően óvják az érzékeny, illetve személyi információt. Mégis, több mint felük beismerte: az elmúlt két év folyamán vesztett el érzékeny adatokat. A felmérés, mely 19 országra terjedt ki, 5500 cégvezető és 15 500 felnőtt fogyasztó véleményét összegzi.

A cégek 58 százalékánál számoltak be legalább egy adatbiztonsági incidensről az elmúlt két évben, mégis 73 százalékuk szerint szervezetük megfelelő intézkedésekkel és szabályozással védi az általa kezelt személyes adatokat. Az adatbiztonsági incidenseket leggyakrabban üzleti vagy rendszerhiba, továbbá emberi mulasztás vagy tévedés okozta (57, illetve 48 százalék); csak az incidensek 18 százalékában történt hackertámadás. A fogyasztók 70 százaléka tartotta fontosnak vagy nagyon fontosnak személyiségi jogait és személyi adatait, ugyanakkor 42 százalékuk úgy vélte: a szervezetek nem védik eléggé a rendelkezésükre bocsátott ilyen jellegű információt.

Minden második fogyasztó (53 százalék) úgy vélte: joga van ellenőrizni, hogyan használják fel a vele kapcsolatos személyes információt. Ugyanilyen arányban voltak azok, akik arra is jogot formáltak, hogy hozzáférhessenek a szervezetek által gyűjtött és felhasznált adatokhoz, s szükség esetén felülvizsgálhassák azokat. Arra a kérdésre: kinek az elsődleges felelőssége a megfelelő információvédelem biztosítása, a válaszadók 4 százaléka a kormányt, 21 százaléka a cégeket, 19 százaléka az érintett személyeket jelölte meg, 20 százalék pedig úgy vélte: közös erőfeszítésre van szükség.

Bizony, az elővigyázatosság mind a szolgáltatók, mind az ügyfelek oldalán nagyon fontos - intette a cégeket a Verisign, miután kutatói megállapították: mind könnyebb és olcsóbb egy-egy online támadásra botnetet szerezni. Már óránként 7 euró körüli összegért is lehet botnetet bérelni, s az átlagos napidíj valamivel 53 euró alatt van - derítették ki a Verisign iDefense részlegének szakemberei. Márpedig ha a hackertámadásra alkalmas infrastruktúra ilyen könnyen és olcsón, szolgáltatásként hozzáférhető, akkor arra is mind nagyobb az esély, hogy egy cég site-ja ilyen támadás célkeresztjébe kerüljön - figyelmeztetnek a kutatók.

A Verisign három fórumon 25 botnet-üzemeltető "kampányát" követte. A bűnözők nem egy esetben hagyományos marketing eszközökkel, például bannerrel hirdették szolgáltatásukat. Mindez jól mutatja, mennyire kifinomult, iparszerű tevékenységről van szó. Az egyik fórumon még arra is külön árat ajánlottak, ha a megrendelő támadások ellen jól felkészített, védett site-ot szeretne megbénítani. Napjaink legelterjedtebb, pénzügyekre szakosodott rosszindulatú programja egyébként a Zeus, amely áldozata online banki belépőire vadászik. A kártevő legújabb kiadása HTML-befecskendezéssel (HTML injection) és tranzakció-hamisítással (transaction tampering) támad, s így az erős autentikáción és a tranzakció-aláíráson is át tud törni.