Az Imperva Research Labs az elmúlt évtized több mint 100 legnagyobb és legismertebb adatbiztonsági incidensének elemzésével megállapította, hogy az ilyen bűncselekmények során ellopott adatok több mint háromnegyed része (75,9 százaléka) tartalmazott személyazonosításra is alkalmas információt. Mindezt összefüggésbe helyezi, hogy a vizsgált időszakban egyre nagyobb gyakorisággal történtek hasonló jogsértések, drámai emelkedést hozva nem csak az esetek számában, de azok nagyságában – vagyis az ellopott rekordok mennyiségében – is.

A personally identifiable information (PII) klasszikus meghatározása alapján minden olyan adat ide sorolható, amit fel lehet használni egy-egy adott személy azonosítására. Ilyenek például a társadalombiztosítási azonosítók, a levelezési és e-mail címek vagy a telefonszámok. A technológiai fejlődés azonban jelentősen kibővítette a PII adatok körét, így már ide tartoznak az IP-címet, a bejelentkezési azonosítók, a közösségimédia-bejegyzések vagy akár a digitális fényképek, de a földrajzi helymeghatározás és a biometrikus vagy a felhasználói viselkedésről szóló adatok ugyanígy besorolhatók a PII-k közé.

Az Imperva statisztikája alapján a szóban forgó esetek száma folyamatosan 30 százalék körüli éves emelkedést mutat 2017 óta, az egyes incidensek során kompromittálódó rekordok mennyisége pedig átlagosan 130 százalékkal növekszik. Mindez azt jelenti, hogy 2017 és 2020 között évi 224 százalékkal nőtt az összes ellopott adatrekord száma; összehasonlításképpen, ezt idén januárban 870 milliósra becsülték, ami önmagában is több, mint a teljes 2017-es mennyiség. A trend pedig affelé mutat, hogy a következő években sorra megháromszorozódhat a személyes adatok volumene.

Már nincs biztonságos zóna

Feltételezve, hogy 2021-ben sem merülnek fel olyan körülmények, amelyek megváltoztatnák ezeket a folyyamatokat, az idei évre az Imperva körülbelül 1500 jelentős adatlopási incidensre számít. Ezek során összesen 40 milliárd adatrekord kompromittálódhat, vagyis esetenként 26 millió rekord sérül. Mivel az sem látszik, hogy az általuk tartalmazott, személyazonosításra alkalmas információ aránya bármiért is csökkenne, a fenti ráta értelmében ebben az évben már több mint 30 milliárd, a PII kategóriába sorolható rekordot lopnak majd el.

A PII egyre tágabb meghatározása egyébként önmagában is adatbiztonsági és megfelelőségi kihívásokat támaszt, amire jó példa az európai GDPR szabályozás. Közben a korlátozó intézkedések, a távmunka és a távoktatás gyorsított ütemű bevezetése, illetve az általános bizonytlanság a hekkereknek is lehetőségeket teremtett rá, hogy újabb támadási pontokat, kihasználható réseket keressenek az érintett szervezetek rendszereiben. Az Imperva becsléseinél más kutatások sem optimistábbak: legutóbb a Risk Based Security (RBS) éves jelentését idéztük, amelynek értelmében a világszerte tavaly bejelentett összes incidens során 37 milliárd adatrekordot szereztek meg a különböző hekkercsoportok, a PII-k egy jó részét ráadásul nyilvánosan is elérhetővé tették.

Ahogy az Imperva anyagában is felhívják rá a figyelmet, az a tradicionális megközelítés ma már nem megalapozott, hogy a a hálózatok határainak innenső oldalán működő eszközöket védettnek lehetne tekinteni. A digitalizációval ugyanis ezek a határok elmosódnak, a szervezetek biztonsága pedig csak olyan erős, mint a biztonsági lánc leggyengébb láncszeme. Ráadásul az adatbiztonsági incidensek ökoszisztémája is egyre változatosabbá és bonyolultabbá válik, így a rések a rossz biztonsági gyakorlatoktól vagy a gyenge autentikációtól a külső szolgáltatásokig vagy akár az ellátási láncban szereplő partnerekig terjedhetnek.

Részletek a Lessons learned from analyzing 100 data breaches jelentésben »