Dobrý den,
prosím Vás, jak je možné, že se data ukradou? To nelze zabezpečit?
V dnešní přetechnizované době by už ty systémy měly být natolik kvalitní, aby k jakémukoliv nešvaru dojít nemohlo. Děkuji za odpověď a přeji hezký den. Najmanová

Jednoduchá odpověď je, že nelze. Nejslabším článkem každého systému je jeho uživatel. Zabezpečit data proti vlastním zaměstnancům je prakticky nemožné a je to určitě nemožné učinit technologickými prostředky.

Samozřejmě mnohdy je problém i ve špatně napsaném nebo navrženém systému, ale nevypadá to, že to by byl případ T-Mobile.

Myslíte si, že by reklama měla dostat podstatně přísnější pravidla? Je to nevyžádané zboží.
Téměř paralyzuje PC, obtěžuje v počítači i v TV. Užitek pro reklamní agentury je užitkem opravdu jen pro ně.

Nemyslím si, že je to možné řešit nějakou regulací - tu není možné vynutit. Používejte ad blocker a nesledujte stanice, kde je poměr reklamy a TV nevýhodný. Což také znamená, že musíte být připraven platit za obsah.

Dobrý den. V zahraničí je jméno firmy, která si nechá utéct data v takovémto rozsahu, značně pošramoceno a zákazníci na to obvykle zareagují. Stejně tak úřady hned začnou firmu vyšetřovat a často to končí tučnou pokutou. V čem to je, že to vypadá, že v ČR je to každému jedno?

A mohu-li druhou otázku: Jaká opatření proti insiderům byste doporučil pro zabránění podobných incidentů a nakolik je firmy v ČR reálně nasazují?

Ochrana osobních údajů je takové trochu nechtěné dítě. Nezáleží na tom ani těm firmám, ani většině zákazníků - nadšeně prodají svů údaje za to, že dostanou na zákaznickou kartu "odměny" v ceně odpovídající zaokrouhlovací chybě transakcí.

Lidé sice často říkají, že po úniku dat nebo hacku přejdou jinam, ale většina z nich to neudělá. Ono také často není kam, protože problémy mají všichni. Trocha relevantního čtení (v angličtině):

New FireEye Research Reveals the Impact of High-Profile Security Breaches on U.S. Consumers' Trust of Brands
http://investors.fireeye.com/releasedetail.cfm?ReleaseID=970718

Consumers taking their business elsewhere after a hack
http://www.scmagazine.com/consumers-taking-their-business-elsewhere-after-a-hack-centrify-survey/article/502183/

One-Fourth of American Adults Notified of Data Breach in Past Year; Few Consumers Penalize Hacked Companies
http://www.rand.org/news/press/2016/04/14.html

ČR není výjimkou, jenom to tak vypadá. O možných opatřeních jsem již psal v odpovědi na jinou otázku.

Na jakém černém trhu a kde se dají koupit děkuji :)

Existují desítky fór, kde se s uniklými daty obchoduje. Obvykle jsou dostupná pouze pomocí sítě Tor.

Pokud vás zajímají detaily, tak tomuto tématu se dlouhodobě věnuje Brian Krebs a další informace najdete na webu https://krebsonsecurity.com/.

Fungováním těchto fór a obecně celé této komunity se zabývá jeho kniha Spam Nation, kterou vám vřele doporučuji. Dá se koupit i jako ebook na Amazonu (http://amzn.to/1VWQLyH), ale není mi známo, že by existoval nebo se připravoval český překlad.

Je možná dokonalá ochrana zenužití (ztráta) dat, osobních údajů zpracovávaných v eloktronické evidenci tržeb - EET a kontrolním hlášení DPH?
Doslech jsem se že, tyto data nebude spravovat stát(nemá na to kapacity),ale nějaká najmutá firma.Děkuji, Robert.

Dokonalá ochrana dat není možná nikdy. A dosavadní informace o zabezpečení systému po EET ukazují, že ten se dokonalosti ani neblíží.

Ostatně, že Andrej Babiš a jeho zaměstnanci z hnutí ANO mají o informačních technologiích a jejich bezpečnosti hodně bujné představy, ale téměř nulové znalosti, je bolestně zřejmé prakticky ze všech jejich výroků na toto téma.

Podle ceho se pozna IT expert?

Že se přátelí spíš s počítači než s lidmi a rozumí a věří spíš počítačům než lidem. Protože křemík je tvrdší než mozek a hůř se na něj útočí.

Dobrý den,
mám právo dozvědět se jestli i má data byla od firmy T-Mobile zcizena a mohu žádat náhradu škody? Děkuji

Jako subjekt údajů máte dle § 12 zákona č. 101/2000 Sb., o ochraně osobních údajů právo na informaci o zpracování svých osobních údajů. Jejím obsahem je též informace o příjemcích těchto údajů (§ 12 odst. 2 písm. d)). Takže máte právo se tuto informaci dozvědět.

Podle § 12 odst. 3 má správce (T-Mobile) právo na úhradu nákladů spojených s vyřízením takové žádosti, ale pokládám za velice nepravděpodobné, že by ji TMO za těchto okolností vyžadoval - rozhodně by to od něj bylo velmi hloupé.

Pokud vám tímto postupem nějaká škoda vznikal, můžete žádat její náhradu, ale budete muset tu škodu prokázat, což se vám nejspíše nepodaří.

Vážený pane experte,

jak můžu operátorovi dokázat, že přeprodal "kontakt" na mou osobu jinému subjektu ? Telefonují mi firmy, s kterými nemám nic společného a nabízejí mi své služby, o které nestojím. Přitom jsem přímo operátorovi sdělila, že si v žádném případě nepřeji, aby jemu spřízněné firmy, organizace mě s nabídkami svých produktů obtěžovali. Když jsem na to operátora upozornila, tak chtěl po mě důkaz, že chyba je na jejich straně. Odpověď to chytré horákyně.

Děkuji za případnou odpověď H.P.

Pokud se jedná jenom o telefonní číslo a v podstatě základní kontaktní údaje, tak to bohužel dokázat nijak nemůžete, protože je lze získat i jinými způsoby.

Jistou obranou, kterou lze ale prakticky použít pouze u e-mailů, je používat pro každý subjekt jinou e-mailovou adresu. Např. pomocí doménového koše. Pak přesně víte, odkud vaše data unikla a můžete lépe argumentovat.

Dobrý den,
nakupovala jsem přes internet pomocí karty. Za krátkou dobu mi byly z účtu
ukradeny peníze příkazem ze zahraničí (VB). Jak je to možné? Mám zabezpečený PC dobrým antivirem. Tento způsob platby je běžný a prý bezpečný. No mně se nevyplatil.
Děkuji za odpověď.
B.Nová

Záleží na tom, kde jste nakupovala a jak platila. Data mohla uniknout například od obchodníka nebo z platebního systému.

Nicméně údaje mohly uniknout i od vás. Nejdůležitějším faktorem z hlediska bezpečnosti je chování uživatele a hned po něm včasné aktualizace veškerého software. Antiviry jsou v podstatě bezcenné.

Společnost Google dělala průzkum mezi bezpečnostními odborníky a běžnými "ajťáky", co považují za důležité z hlediska počítačové bezpečnosti. Bezpečnostní laikové umístili na první místo antivirus. Z hlediska odborníků se nedostal ani do prvních pěti.

Pokud rozumíte tomu, co děláte, žádný antivirus nepotřebujete. Pokud nerozumíte, nepomůže vám ani deset antivirů.

není celá věc jen taková nesmyslná bublina? Co když T-Mobile bez naší vědomosti vesele přeprodává databázi svých zákazníků jiným subjektům (a nemusí to být jen T-Mobile) a touhle kauzou jen "zlegalizoval" to , že se údaje o tel. číslech dostali i jinam. Mám T-Mobile léta a pouze v posledním měsíci mě několikrát kontaktovali nějací prodejci čehosi. Takže blokace čísla a jde se dál.

Mobilní operátoři vaše data využívají pro komerční účely, včetně nabídek třetích stran, pokud jim to explicitně nezakážete, a to zcela legálně. Je to součástí obchodních podmínek a souhlasil jste s tím, je to opt-out. Nemyslím si, že mají zapotřebí to nějak kamuflovat a zejména ne tímto způsobem.

Že vás kontaktoval prodejce čehokoliv, ještě není důkaz úniku údajů od operátora. Telefonní číslo se dá získat mnoha různými způsoby, včetně automatizovaného náhodného vytáčení, což je běžně užívaná praxe.

Cenným se vaše telefonní číslo stává teprve v kombinaci s dalšími údaji, které umožňují nabídku lépe zacílit. V tom je to nebezpečí úniku dat, ne v tom že někdo zná vaše jméno a telefonní číslo, ale třeba ví, že často jezdíte do zahraničí (využíváte roaming) a podobně.

Jak je vlastně možné, že ve firmě jako je T-Mobile si může někdo odnést data, navíc v takovém rozsahu? Nemají v systému nějakou obranu proti neoprávněnému stahování?

Naprostá většina firem je zabezpečená asi jako meloun. Mají tvrdou vnější slupku a měkké jádro. Očekávají útok zvenčí, ale jakmile jste uvnitř, jsou omezení malá.

Na obranu T-Mobile je nutné říct, že obrana dat před zaměstnanci, kteří je potřebují ke své práci, je hodně obtížná. Obrana obecně může spočívat pouze v detekci abnormálních aktivit (např. někdo se ptá na příliš mnoho dat) a jejich vyhodnocování (možná je to v pořádku, možná ne).

Zveřejněných informací je zatím velice málo, ale paradoxně z toho T-Mobile vychází relativně dobře, protože ten útok dokázali alespoň sami detekovat a zareagovat na něj, ne že se o tom dozvěděli až od obětí.

Dobrý den, bylo by možné žalovat T-Mobile za to, že nedokázala ochránit MÁ data, která ji já prostřednictvím např. smlouvy dal?

Tak žalovat tu společnost nepochybně můžete, ale asi nebudete úspěšný, protože nedokážete, že vám tím vznikla nějaká konkrétní škoda. A české soudy vesměs slyší jenom na náhradu konkrétní škody. Chybí zde "americký" přístup class action lawsuits a punitive damages, který by podobné situace řešil.

Dobry den,
zajimalo by mě jestli muže někdo odcizit finančni obnos s učtu u bank,spořitelen.......?

Děkuji za odpověd

Nepochybně může, ale nepokládám za pravděpodobné, že by mu k tomu pomohl zrovna tento únik.

Napadá mne jenom jediný mechanismus, jakým by k tomu mohl přispět únik dat z T-Mobile. Totiž že by se s pomocí těchto údajů (obsahují-li např. heslo) podařilo přesvědčit zaměstnance operátora, aby např. vydal neoprávněné osobě novou SIM kartu ke stávajícímu telefonnímu číslu. Pak by útočník mohl využít přístupu k tomuto číslu na obejití SMS autentizace některých bank, pokud by zároveň dokázal odposlechnout statické heslo téže osoby.

Taková forma útoku není teoretická, podobné případy se nedávno staly v USA, ale vyžaduje to cílený útok z několika stran na konkrétního uživatele. Myslím si tedy, že většině lidí to z tohoto úniku nehrozí.

Hrozí podobné úniky i z eshopů, které umožňují uložení čísla kreditní karty, například Alza nebo Amazon?

České e-shopy (jako třeba Alza) nemají přístup k číslu vaší platební karty. To je uloženo u zprostředkovatelů platebních systémů, asi největší u nás je Global Payments Europe (GPE), dříve MUZO. Únik by tedy musel nastat u těchto zprostředkovatelů. Což sice nelze vyloučit, ale v takovém případě by to řešily přímo banky a karetní asociace blokací plateb, karet a vrácení peněz. V USA to bývá trochu jiné, ale zrovna u Amazonu bych se toho nebál.

Zdaleka největší riziko nepředstavují platby na e-shopech, ale platby u obchodníků tam, kde obchodníci data sami zpracovávají (tj. ne v ČR). Tam jsou úniky desítek miliónů údajů o kartách běžné.

Dd,

je možné si zjistit jak mají banky či operátoři data zajištěná? U koho byste doporučil si zřídit účty a paušál?

Děkuji

Není. Společnosti většinou takové údaje nezveřejňují a omezují se na prázdné obecné proklamace typu "bezpečnost je pro nás prioritou". Z hlediska i poučeného konzumenta je to prostě ruská ruleta.

Z hlediska odborníka pak v zásadě platí heslo "kdo má rád klobásy a ctí zákony, neměl by být přítomen tomu, jak vznikají". Pracovně jsem se seznámil s bezpečností v mnoha firmách, včetně těch největších, a slabiny jsou všude. Zabránit úniku dat nelze. Jenom jich nesdělovat zbytečně mnoho a minimalizovat následky.

Jak T-Mobile přišel na únik dat, použil nějaký moderní systém na odhalení úniku typu UBA (User behavior analytics) nebo DLP (data loss prevention)?

Nevím, to nebylo zveřejněno, pokud je mi známo. Ale předpokládal bych, že na to přišel nějakým takovým způsobem, ano. Pokud se tak stalo, je to vlastně dobrá zpráva - operátor takové nástroje má, používá je a na základě zjištěných dat dokázal zareagovat.

Zdravím,

jak je to s viruálníma operátorama, kteří patří pod T-Mobile? Co je jasné, že využívají jejich síť pro pokrytí - je nějaké propojení mezi nimi i na úrovni uživatelských dat?

Děkuji za odpověď

Konkrétní situaci v tomto případě neznám. Míra sdílení dat bude záležet na konkrétním operátorovi. Někteří jsou v podstatě jenom značky své mateřské společnosti, takže míra sdílení údajů bude vysoká. Jiní jsou hodně nezávislí.

Za jak bezpečné pokládate internetové bankovnictví Komerční banky, v době kdy došlo k únikum výpisu penz. spoření Kalouska jsem s nimi měla také problém. Po jednom přihlášení je přístup k více učtum a učtu pens. spoření., který je jen pasivní jen s příchozích akt. plateb. Zde se neautorizuje přes mob.každá transakce zvlášť ani transakce z ruz. učtu zvlášt. Pokládáte to za bezpečné ? děkuji

Internetové bankovnictví KB neznám a váš dotaz je poněkud zmatený, takže nedokážu adresně odpovědět.

Obecně platí, že získat přístup k informacím o účtu je relativně snadné, protože tam autorizace nebývá tak přísná. Pro provádění změn a transakcí je vesměs vyžadována dodatečná autorizace.

Důrazně doporučuji pro tuto autorizaci používat samostatné fyzické zařízení, např. elektronický klíč a ne mobilní telefon a SMS, pokud to banka umožňuje. SMS nebo aplikaci v telefonu je možné napadnout (viz předchozí odpovědi). Samostatný hardware ne.

Realisticky vzato ovšem mnohem větším rizikem, než zabezpečením systému samotného, je chování jeho uživatelů.

Někdo ze mě chce vypáčit jméno,adresu,věk,zaměstnání,číslo pasu,může tyto informace nějak zneužít? Děkuji pěkně

Ano. K marketingovému cílení reklamy a sociálnímu inženýrství, k útokům na vaše dodavatele nebo třeba zaměstnavatele.

Pokud vás zajímá, jak se to dělá, přečtěte si knihu Kevina Mitnicka "The Art of Deception" (k mání i jako ebook na Amazonu, http://amzn.to/1U6D9wh). Vyšlo to i česky jako Umění klamu, ale nejsem teď schopen dohledat, kdo to vydal.

Můžete nám říci, kolik procent tvoří odcizení databází zaměstnanci a kolik jiným způsobem?
Setkala jsem se takto i únikem dat ze sociálky, kde mne omylem registrovali s pomlčkou, kdy používám dvě příjmení a chodí mi poptávky na příspěvky z nadací

Obecně kybernetické útoky z řad zaměstnanců jsou velice časté. Podle toho koho a jak se zeptáte se jejich podíl pohybuje mezi 40-70 %.

Zdravím,

samozřejmě neznám zdroj, který za tím je, ale podle tohoto https://twitter.com/Ravenhir/status/742323326811578369 by byla situace mnohem smutnější.

Hezký den

Pokud je to skutečně tak, že na únik upozornila až firma, které to chtěli prodat, pak je to pro T-Mobile velká ostuda.

Nevylučoval bych to. Před časem jsem se podílel na vyšetřování podobného případu, kdy unikla data o klientech z jedné velké pojišťovny a také se na to přišlo tak, že to policii nahlásila marketingová firma, které byla data nabídnuta.

Zdravím. Je vůbec možné se vyhnout či radikálně omezit sdělování svých dat, když dnes skoro každý prodejce (čehokoliv), po vás chce tyto údaje?
Nemluvě o skutečnosti, že někdy si chtějí rovnou OFOTIT např. i OP, (konkrétně např. banky).
To, že už cca 10 let NENÍ POVINNOST nosit u sebe OP, úřady moc neinformují (a spoléhají na neznalost zákonů u občanů).

Ano, je. Prostě ty údaje nesdělujte a vybírejte si takové společnosti, které je po vás nevyžadují. "Do toho vám nic není", "To vám neřeknu.", "OK, koupím si to někde jinde" jsou výroky velmi mocné a doporučuji naučit se je rutinně používat.

Nazdar pane

Jsou udaje jak to maj krom T-Mobilu ošefovaný i ostatní operátoři a jaké procento jim bere kramle mimo ohradu?

Pěknej den a pozdravuj psice

Nejsou. Informace o zabezpečení společnosti nesdělují. Omezují se na obecná prohlášení a vroucná přání, aby další průšvih tohoto druhu postihl konkurenci a ne je.

Ostatně, všimněte si, jaké ticho je ze strany konkurence. Myslím si, že stažený zadek a zpytování svědomí je na pořadu dne i v Michli ve Stodůlkách, nejenom na Chodově.

Dobrý den, jaký je Váš názor na budoucí používání kvantových počítačů a na to, že díky jejich rychlosti již nebude problém rozluštit většinu hesel. Děkuji.

Myslím si, že k prakticky použitelnému kvantovému počítači vede ještě hodně dlouhá cesta a že nás to ještě dosti dlouho nebude muset trápit. Existují mnohem bezprostřednější bezpečnostní hrozby, které je nutné řešit.

Až budeme mít masově vyřešenou ochranu klíčů, side-channel útoky, zastaralá standardy a protokoly, chybně napsané a chybně vymyšlené aplikace... pak teprve se musíme začít bát kvantových počítačů.

Ztráta dat od T-Mobilu - versus bezpečnost:

Je z hlediska internetové bezpečnosti dobré:
1) Propojení přístrojů - počítač, tablet smartphone - přes jedno přihlašování? Jak to má syst. Windows?
2) Opravdu je opereační systém WindowsPhone - v mobilech Nokia Lumia či Microsoft Lumia dostatečně uzavřený a dostatečně bezpečný, že není potřeba antivir. a firewall. ochrana?
3) Je systém Android bezpečný pro internetbanking? Neustále se zdůrazňuje, jak je náchylný na průnik zvenčí....Díky.JT

1) Je to jisté bezpečnostní riziko, ale je to podle mého názoru více než vyváženo pozitivy (synchronizace dat, nastavení atd.), které to přináší. To je obecný princip - je třeba najít kompromis mezi mírou zabezpečení a mírou použitelnosti. Ten je u každého jiný.

Já osobně přihlašování pomocí MS Accountu používám, protože pro mne výhody převyšují rizika. Konkrétně u Windows (totéž nabízejí i ostatní platformy) však doporučuji zapnout přihlašování k počítači ne pomocí toho hlavního hesla, ale pomocí (dlouhého) lokálního PINu, který nikdy neopustí váš počítač.

2) Windows Phone je nejbezpečnější mobilní operační systém dneška. Z hlediska architektury a principů vývoje pro něj i z hlediska počtu známých bezpečnostních děr. Firewall je de facto součástí operačního systému a antivir není potřeba, protože API jsou tak omezená, že vir pro WP v podstatě nelze napsat. Což bohužel znamená, že pro WP nelze napsat ani řadu užitečných aplikací - viz výše.

3) Systém Android není bezpečný pro jakékoliv použití. Množství děr v něm a zejména přístup výrobců zařízení k jejich odstraňování je tak tragický, že použití obecných zařízení s Androidem je iminentní bezpečnostní hrozba.

O něco lepší je situace u zařízení přímo od Google, protože ty aktualizuje přímo Google relativně svižně, tam to lze tolerovat. U ostatních výrobců je přístup k bezpečnosti nevýslovně příšerný.