10 millió ügyfél adatát lopták el az áramszolgáltatótól

Japán egyik jelentős áramszolgáltatója egy súlyos, és egyben nagyon tanulságos adatvédelmi incidensről számolt be.
 

A Kyushu Electric Power az egyik legjelentősebb regionális áramszolgáltató, amely több mint 10 millió ügyféllel rendelkezik. Ilyen módon rengeteg személyes és egyéb szenzitív adatot tárol, illetve kezel.
 
Az energetikai cégek elleni kibertámadások korántsem mondhatók ritkának, de a mostani eset különbözik a „szokványos” incidensektől, hiszen nem távolról történő, külső károkozásra került sor. Ennél egyszerűbb magyarázata van a történteknek: eltűnt egy külső adattároló a vállalat szerverterméből.
 
A Kyushu Electric az adatvédelmi incidens megtörténtét hivatalosan is elismerte, és értesítette a rendőrséget, valamint a japán adatvédelmi hatóságot a történtekről. Emellett belső vizsgálatokat indított, és megkezdte az érintett ügyfelek kiértesítését.
 
A vállalat az eddigi vizsgálatok alapján annyit közölt, hogy az informatikusai rendszeresen készítenek biztonsági mentéseket. Április 27-én azonban tárhely szűkében voltak, ezért úgy döntöttek, hogy a mentést egy külső adathordozóra végzik el. Ezt meg is tették, majd az adattárolót elzárták a szerverterem szekrényébe. (A szervertermet több fizikai biztonsági intézkedéssel is védték.)
 
Május 26-án az egyik informatikus arra lett figyelmes, hogy a szerverteremben lévő szekrényt valaki kinyitotta, és abból eltűnt a szóban forgó adathordozó. Ezt azonnal jelentette az illetékeseknek, és megkezdődött az adattároló felkutatása. Ez azonban eddig nem vezetett eredményre.
 
A vizsgálatok során kiderült, hogy a szerverteremhez legalább 57 személynek volt belépési engedélye, de egyelőre ismeretlen tettes ellen folyik a nyomozás.
 
A Kyushu Electric szerint az eltűnt adathordozón 10,9 millió ügyfelének adatai voltak megtalálhatók, köztük az alábbiak is:

• ügyfelek nevei
• szolgáltatási címek
• telefonszámok
• áramhasználati adatok

 
A vállalat hangsúlyozta, hogy pénzügyi információk, illetve bank-, valamint hitelkártya adatok nem kerültek a külső adathordozóra.
 
Tanulságok
 
A mostani esetből az áramszolgáltató egészen biztosan sokat okult, de valójában minden szervezet számára tanulsággal szolgálhatnak a történtek. Leginkább arra hívja fel a figyelmet a nemkívánatos esemény, hogy ha már egyszer kényszerűségből külső adathordozóra kell menteni, akkor az legalább megfelelően erős titkosítással történjen. Még akkor is, ha az adattároló (tervezetten) soha nem hagyhatja el a védett helyiséget.