Společnost SODAT analyzovala přes 12 tisíc souborů zveřejněných na největším českém úložišti Ulož.to. Všechny byly nahrány v režimu "pro veřejnost". Přitom obsahovaly citlivá data jako telefonní čísla, daňová přiznání nebo komunikaci s pacienty nespecifikované plastické chirurgie.
Největší množství citlivých dat je podle výsledků analýzy přístupné skrze přílohy zveřejněných e-mailových komunikací. Společnost našla celkem 112 zálohovaných Outlook e-mailů, heslem byl chráněn jediný. Více než 10 tisíc příloh obsahovalo citlivé informace. Nejvíce z oblasti farmacie, zdravotnictví, účetnictví nebo IT.
"Zneužití nalezených dat může mít pro dané společnosti destrukční následky," upozorňuje ředitel společnosti SODAT Jan Vobruba.
"Analýza ukazuje problém, na který dlouhodobě poukazujeme a který se samozřejmě netýká pouze cloudového úložiště Ulož.to, ale všech cloudových služeb, sociálních sítí, datových úložišť a platforem na sdílení uživatelského obsahu," komentuje výsledky analýzy tiskový mluvčí Ulož.to Tadeáš Novák.
Tím problémem je podle Nováka nerozumné chování některých uživatelů internetu, kteří si neuvědomují, že při sdílení jakéhokoli obsahu je třeba si promyslet, komu je obsah určen a zda je dostatečně zabezpečen. "Rozhodnutí o vhodné míře ochrany pro konkrétní typ dat neudělá za uživatele žádná platforma, to musí rozhodnout on sám," dodává.
Úniky dat provázejí veřejná úložiště od jejich vzniku
S tím souhlasí i analytik a specialista na cloudové služby a veřejná úložiště Luděk Sefzig z Centra kybernetické bezpečnosti. Ani podle něj nejsou podobné úniky dat ojedinělé a netýkají se jen serveru Ulož.to. "Úniky firemních dat provázejí veřejná datová úložiště už od jejich vzniku," říká.
Veřejná úložiště jsou totiž navržená tak, aby získala své klienty, proto jsou jednoduchá na obsluhu a využití. Naopak firemní způsoby sdílení dat jsou častokrát složitější, svázané podnikovými pravidly a kapacitními omezeními. "Zaměstnanci, ale i vedení firem proto mnohdy pravidla obchází a využívají ke sdílení dat právě veřejná úložiště," dodává Sefzig s tím, že však často zapomínají, že takto poskytují citlivé informace veřejnosti.
Největším rizikem je podle něj nespokojený zaměstnanec či zaměstnanec, s nímž firma chce ukončit spolupráci. Druhou rizikovou skupinou jsou pak zaměstnanci, kteří mají přístupy k citlivým datům, ale nejsou náležitě vzděláni v oblasti datové bezpečnosti. "Pokud chce tedy firma únikům předcházet, je zapotřebí nastavit pravidla v oblasti IT Security a tato pravidla důsledně dodržovat," doplňuje. Jedním ze způsobů, které navrhuje, je rozčlenit zaměstnance do skupin s různými oprávněními k přístupu k datům a vzdělávat je.
Pochybeními firem v otázce úniku dat se v České republice zabývá Úřad pro ochranu osobních údajů.