Alex Jones egy igen szélsőséges amerikai figura, aki jobb napjain meleg békákról ordítozik. Most egy sokkal rosszabb napjáról lesz szó.
Dióhéjban ez történt 2022 őszén (szándékosan nem érintve a konkrét témát): Jones perben állt több emberrel, a tét egy több százmillió dolláros kártérítés volt. A per jó ideje húzódott már, többek között azért, mert sem ő, sem az ügyvédjei nem adtak át a bíróságnak általa küldött üzeneteket, amik bizonyítékként szolgálhattak, tagadták ezek létezését.
Aztán eljött a nap, amikor Jones egyik ügyvédjének az asszisztense elgépelt egy e-mail-címet.
A jogászok teljesen véletlenül átküldték Jones mobiljának komplett tartalmát – amit addig visszatartottak, sőt, titkoltak – az ellenoldalnak, személyesen a vád képviselőjének.
A perről egyszer jó eséllyel minisorozatot forgatnak, az ügyész, aki szembesítette Jonest ezzel a ténnyel, minimum Tom Cruise-nak érezhette magát a Becsületbeli ügyből, és okkal.
Jones 965 millió dollárt bukott az ítélettel – csak a kontextus miatt, Magyarországon pár éve ennyibe került 160 kilométer gyorsforgalmi út megépítése.
Miért érdekes ez nekünk?
Egyszerű hibák, egyszerű katasztrófák
Rendben, kinek nem volt már legalább egyszer nagyon, de nagyon kínos az, hogy elgépelte egy üzenet címzettjét? Hogy rossz helyre ment egy vallomás, egy pletyka – akár egy üzleti levél.
A magyarázkodás ilyenkor nem kellemes.
De ami itt történt, az nem egyszerű figyelmetlenség vagy olyan sztori, amin aztán jót nevet a vétkes egy sör fölött.
Itt az történt, hogy egy cég alkalmazottja bizalmas információkat osztott meg a konkurenciával, ezzel csődbe juttatva az ügyfelet. Ez a leegyszerűsített, tényszerű verzió.
És bár ez a konkrét sztori szó szerint ország-világ előtt esett meg, a hasonló történetek nem ritkák. A Verizon legfrissebb, adatlopásokat vizsgáló 2022-es jelentése szerint az ilyen esetek 82%-áért valamilyen formában emberi hiba a felelős.
A teljesség igénye nélkül, csak néhány példa az elmúlt évekből:
- 2018-ban A Strathmore Középiskola egyik alkalmazottja 300 tanuló adatait tette nyilvánossá a belső hálózaton, beleértve olyan személyes adatokat, mint hogy kit diagnosztizáltak ADHD-val, agysérüléssel, autizmussal, ki milyen gyógyszereket szed.
- Szintén 2018-ban Pennsylvania állam oktatási minisztériuma véletlenül nyilvánosságra hozta a komplett tanárnyilvántartó adatbázisát, így 360 000 ember személyes adataiba tekinthetett be bárki, akinek volt egy szabad perce.
- A Sequoia Capital a Szilícium-völgy egyik legbefolyásosabb befektetőcége. Nekik 2021-ben sikerült egy illetéktelen előtt felfedniük a befektetőik rengeteg személyes és pénzügyi adatát – mert az egyik alkalmazottjuk belekattintott egy adathalász levélbe.
- 2007-ben a brit vám- és adóhivatal egyik munkatársa a belső postázóban felejtett egy CD lemezt. Mint később kiderült, ezen 25 millió (!) adófizető adatai szerepeltek. 32 nyomozó kereste a lemezt 3 hónapig, 500 ezer fontot elköltve. Soha nem találták meg.
Az emberi hiba valahol elkerülhetetlen – de az ilyen mértékű katasztrófák megelőzhetőek.
Elsősorban akkor, ha az alkalmazottakat naprakész, pontos tudással és rutinokkal látjuk el, amivel ők maguk kerülhetik el őket. Ide tartozhat az adathalászok és csalók felismerése, a bizalmas adatok kezelése, az adattárolók kezelése és még több tucat témakör.
Ami biztos: attól még nem lesz biztonságos egy céges adatbázis, hogy a legjobb tűzfal védi, katonai szintű protokollokkal, hely szerveren és így tovább.
Az adataink (és ügyfeleink, megrendelőink) adatai akkor lesznek biztonságban, ha a felhasználók, a kollégák edukációs állapotára is aktívan odafigyelünk.
Az első lépés persze az, hogy megállapítsuk, egyáltalán mennyire vagyunk most felkészültek. Erre a legjobb eszköz pedig egy biztonsági audit, amit egy szakértő végez, aki objektíven képes a céget átvizsgálni – és konkrét megoldásokat adni, ha problémát talál, beleértve a kollégák felkészítését is.