كيف غيّر القانون العام لحماية البيانات (GDPR) مجال لعب الأمن السيبراني؟

لا تزال انتهاكات البيانات أمرًا شائعًا - حتى منذ أن تم فرض اللائحة العامة لحماية البيانات (GDPR). لا يزال يتعين على الشركات العمل بشكل متقطع لحماية بيانات عملائها. ما الذي تعلمناه من الاثني عشر شهرًا الماضية وكيف يمكن للصناعة تحسين المضي قدمًا؟

كان من المفترض أن يكون 2018 نقطة تحول لخصوصية البيانات. منذ أكثر من عام بقليل ، قدم الاتحاد الأوروبي اللائحة العامة لحماية البيانات (GDPR) لتوفير حماية أفضل لبيانات المستهلكين وحث العلامات التجارية على تحمل المزيد من المسؤولية عن خصوصية البيانات وحمايتها.

مع اندفاع الشركات لتصبح ممتثلة ، سرعان ما أصبح من الواضح أنها ستكون عملية مؤلمة لأصحاب البيانات الذين قللوا من حجم المهمة التي قدمتها اللائحة العامة لحماية البيانات.

بعد مرور عام ، يبدو أن معظم الشركات واثقة من أنها ممتثلة - أو على الأقل تقول إنها متوافقة. ومع ذلك ، على مدار الاثني عشر شهرًا الماضية ، تعرضت بعض الشركات الأكثر شهرة في العالم لانتقادات بسبب ممارسات البيانات السيئة والانتهاكات الجسيمة - بغض النظر عن مزيد من التدقيق في جمع البيانات وتخزينها وحمايتها.

خذ موقع الأسئلة والأجوبة الأمريكي ، Quora ، على سبيل المثال. كشف الرئيس التنفيذي آدم دانجيلو أن بيانات المستخدم قد تعرضت للاختراق من قبل طرف ثالث حصل على وصول غير مصرح به إلى أحد أنظمته في نوفمبر 2018. سرق المتسللون أسماء 100 مليون مستخدم ورسائل بريد إلكتروني وكلمات مرور مشفرة وبيانات أخرى من الشبكات الاجتماعية التي تم استيرادها . لقد كانت أزمة سمعة هائلة وكان لها تأثير عميق على ثقة العملاء.

ومع ذلك ، لم يكن Quora بعيدًا في العام الماضي. كان هذا مجرد غيض من فيض حيث تعرضت العديد من الشركات لهجمات واسعة النطاق ، بما في ذلك Facebook و Ticketmaster و Vision Direct - مما أدى إلى مزيد من الإضرار بثقة المستهلك في العلامات التجارية في جميع المجالات.

لا توجد شركة تريد تجربة خرق البيانات أو تعريض معلومات تحديد الهوية الشخصية (PII) للمستهلكين للخطر ، ولكن حتى الآن ، لا تفعل العديد من المؤسسات ما يكفي لمنع خرق البيانات أو انتهاك القانون العام لحماية البيانات (GDPR). إذن ما الذي تعلمناه في العام الماضي وكيف يمكن للصناعة تحسين المضي قدمًا؟

ضاعف المتسللون جهودهم لتحديد الروابط الضعيفة

في حين أن التنظيم الجديد قد سلط الضوء على ممارسات البيانات وأجبر الشركات على استخدام عمليات جديدة ، إلا أنه لم يردع المتسللين. على مدار الأشهر الستة الماضية وحدها ، شهدنا المزيد من الجرائم الإلكترونية.

Magecart هي إحدى المجموعات الأكثر شهرة ، حيث تقوم بإنشاء عناوين رئيسية تلو الأخرى عن طريق إدخال برامج ضارة لبطاقات الائتمان في مواقع الويب وسرقة تفاصيل دفع العملاء - من أكواد CVV إلى الأسماء والعناوين. لكن لا تنخدع بالاعتقاد بأن هؤلاء المتسللين يستهدفون فقط اللاعبين الكبار في التجارة الإلكترونية. في هذا الشهر فقط ، استهدفت المجموعة موقع اشتراك Forbes ، وحقن الموقع بـ Magecart JavaScript على صفحة الخروج الخاصة بهم.

بالنسبة للعديد من المؤسسات ، تعد الزيادة في هجمات مواقع الويب مدعاة للقلق والتهديدات تزداد تعقيدًا - حيث يصبح المتسللون أكثر ذكاءً. وجد بحثنا الجديد أن ما يقرب من 90 في المائة من المديرين التنفيذيين إما قلقون أو قلقون للغاية بشأن ارتفاع الانتهاكات البارزة. يجادل المعلقون بأن عصابات المجرمين الإلكترونيين تعمل على تطوير حلول ذكاء اصطناعي لاختراق دفاعات الشركات على نطاق واسع. إنهم محقون في القلق لأنه بالتأكيد شيء يمكننا توقع رؤية المزيد منه في المستقبل.

يستهدف العديد من المتسللين الشركات التي ليس لديها إجراءات أمنية أساسية مطبقة. على سبيل المثال ، يمكن أن تعني الحماية الإشراف على تقنيات الجهات الخارجية غير المصرح بها والنشطة على موقع الويب الخاص بالشركة. يتعين على المؤسسات أن تتعلم بالطريقة الصعبة التي يحتاجون إليها للحصول على نظرة شاملة لسلسلة التوريد الخاصة بهم على شبكة الإنترنت ، حيث عندها فقط سيكونون قادرين على فهم مكامن الضعف المحتملة. تكون دفاعات البيانات الخاصة بالشركات في نهاية المطاف بنفس قوة الحلقة الأضعف في سلسلة التوريد الخاصة بها.

لتكون آمنة ، يجب على الشركات هدم الجدران التي بنوها

يمكن لمواقع الويب والتطبيقات التي تقع تحت رعاية فرق التسويق أن تمثل نقطة عمياء لفرق تكنولوجيا المعلومات والأمن ، حيث ينصب تركيزها الأساسي تقليديًا على الخوادم والبنية التحتية. ومع ذلك ، فإنه على منصات التسويق هذه يعهد المستهلكون ببياناتهم.

عجزت العديد من الشركات عن الأمان بسبب هذا الالتباس حول الملكية ونقص رؤية سلسلة التوريد الخاصة بموقع الويب. هذا شيء اكتشفه موقع Ticketmaster خلال اختراق العام الماضي ، حيث استهدف المتسللون بائعين تابعين لجهات خارجية وقاموا بحقن شفرة JavaScript ضارة في صفحة الدفع. هذا هو القاسم المشترك لهذا التهديد ، وجدنا مؤخرًا أن 79.5 في المائة من المديرين التنفيذيين يدركون أن دمج تقنيات الطرف الثالث في موقع ويب يزيد من خطر تسرب البيانات.

بدأت المنظمات في فهم الآثار الخطيرة لعدم وجود وجهة النظر الشاملة هذه ، ولكن هناك المزيد من العمل الذي يتعين القيام به. يعد تطوير المهارات وإنشاء فرق مختلطة أمرًا أساسيًا لضمان إمكانية تحقيق هذه النظرة الشاملة للأمن.

بدون دفاعات الويب ، تخوض الشركات معركة خاسرة

بعد مرور عام وما زلنا نقرع نفس الطبلة ، لكن من الضروري أن تستمع المؤسسات وتتخذ الإجراءات اللازمة عندما يتعلق الأمر بأمان موقع الويب. الطريقة الوحيدة التي يمكن للشركات من خلالها التخفيف من مخاطر الخرق هي القيام بالعناية الواجبة الشاملة وتنفيذ الاحتياطات المناسبة - من اختيار فريق جيد إلى الاستثمار في الحلول التقنية.

حجم التهديدات في جميع أنحاء المشهد هو علامة واضحة وواضحة على ما تخاطر به الشركات من خلال عدم القيام بذلك. أفاد معهد AV-TEST أنه تم إنشاء 856 مليون نوع من البرامج الضارة في العام الماضي وحده ، وسوف يرتفع هذا في الأشهر القادمة.

في النهاية ، لن يستغرق مجرمو الإنترنت وقتًا طويلاً لتحديد أوجه القصور في المنصة الرقمية ، لا سيما تلك التي لم تطالب فيها الشركات بتنفيذ أنظمة أمنية صارمة وتحديثها باستمرار.

كشفت اللائحة العامة لحماية البيانات (GDPR) عن المشكلات التي لم تكن العديد من الشركات على دراية بها - ومن المرجح أن تكشف قوانين الاتحاد الأوروبي الأخرى مثل التوجيه الثاني لخدمات الدفع (PSD2) عن المزيد من الاكتشافات. يعد هذا ، على المدى الطويل ، أمرًا جيدًا لمالكي البيانات وعملائهم أيضًا.

الشركات هي حراس بيانات العملاء ويجب قبول هذه المسؤولية على نطاق واسع لمنع الاختراقات ومواءمة الفرق لتقليل المخاطر. أولئك الذين لن يصبحوا ضحايا خرق البيانات التاليين وسيواجهون عواقب أكثر من مجرد غرامة كبيرة.