Bagaimana GDPR Mengubah Lapangan Bermain Keamanan Siber?

Pelanggaran data masih sering terjadi - bahkan sejak Peraturan Perlindungan Data Umum (GDPR) diberlakukan. Bisnis masih memiliki pekerjaan mereka dipotong untuk melindungi data pelanggan mereka. Apa yang telah kita pelajari dari 12 bulan terakhir dan bagaimana industri dapat berkembang ke depan?

2018 seharusnya menjadi titik balik untuk privasi data. Lebih dari setahun yang lalu, GDPR diperkenalkan oleh Uni Eropa untuk melindungi data konsumen dengan lebih baik dan mendesak merek untuk lebih bertanggung jawab atas privasi dan perlindungan data.

Ketika bisnis bergegas untuk menjadi patuh, dengan cepat menjadi jelas bahwa itu akan menjadi proses yang menyakitkan bagi pemilik data yang meremehkan skala tugas yang disajikan GDPR.

Satu tahun berlalu dan sebagian besar bisnis tampak yakin bahwa mereka patuh – atau setidaknya mengatakan bahwa mereka patuh. Namun, selama dua belas bulan terakhir, beberapa perusahaan paling terkenal di dunia mendapat kecaman karena praktik data yang buruk dan pelanggaran yang signifikan - terlepas dari pengawasan yang lebih ketat terhadap pengumpulan, penyimpanan, dan perlindungan data.

Ambil situs tanya jawab Amerika, Quora, misalnya. CEO Adam D'Angelo mengungkapkan data pengguna telah disusupi oleh pihak ketiga yang memperoleh akses tidak sah ke salah satu sistemnya pada November 2018. Peretas mencuri 100 juta nama pengguna, email, kata sandi terenkripsi, dan data lain dari jejaring sosial yang diimpor. . Itu adalah krisis reputasi besar dan memiliki efek mendalam pada kepercayaan pelanggan.

Quora, bagaimanapun, bukanlah outlier tahun lalu. Ini hanyalah puncak gunung es dengan banyak bisnis yang mengalami serangan skala besar, termasuk Facebook, Ticketmaster, dan Vision Direct - semakin merusak kepercayaan konsumen terhadap merek secara keseluruhan.

Tidak ada bisnis yang ingin mengalami pelanggaran data atau membahayakan Informasi Identifikasi Pribadi (PII) konsumen mereka, tetapi bahkan sekarang, banyak organisasi tidak berbuat cukup untuk mencegah pelanggaran data atau GDPR. Jadi, apa yang telah kita pelajari di tahun lalu dan bagaimana industri ini dapat berkembang ke depan?

Peretas telah menggandakan upaya mereka untuk mengidentifikasi tautan yang lemah

Sementara peraturan baru telah menyoroti praktik data dan memaksa bisnis untuk menggunakan proses baru, itu tidak menghalangi peretas. Selama enam bulan terakhir saja kita telah melihat lebih banyak kejahatan dunia maya.

Magecart adalah salah satu grup yang lebih terkenal, menghasilkan headline demi headline dengan menyuntikkan malware skimming kartu kredit ke situs web dan mencuri detail pembayaran pelanggan - dari kode CVV hingga nama dan alamat. Tapi jangan tertipu dengan pemikiran bahwa peretas ini hanya menargetkan pemain e-commerce besar. Baru bulan ini, grup tersebut menargetkan situs web berlangganan Forbes, menyuntikkan situs tersebut dengan JavaScript Magecart di halaman checkout mereka.

Bagi banyak organisasi, peningkatan serangan situs web menjadi perhatian dan ancaman hanya tumbuh dalam kecanggihan - peretas menjadi jauh lebih pintar. Penelitian baru kami menemukan bahwa hampir 90 persen eksekutif khawatir atau sangat prihatin dengan munculnya pelanggaran tingkat tinggi. Para komentator berpendapat bahwa geng-geng penjahat dunia maya ini sedang mengembangkan solusi Kecerdasan Buatan untuk menyusup ke pertahanan bisnis dalam skala besar. Mereka berhak untuk khawatir karena itu pasti sesuatu yang bisa kita harapkan untuk dilihat lebih banyak di masa depan.

Banyak peretas menargetkan perusahaan yang tidak memiliki langkah-langkah keamanan mendasar. Misalnya, perlindungan dapat berarti mengawasi teknologi pihak ketiga yang tidak sah yang aktif di situs web bisnis. Organisasi harus belajar keras bahwa mereka perlu memiliki pandangan holistik tentang rantai pasokan situs web mereka karena hanya dengan begitu mereka dapat memahami di mana letak kerentanan potensial. Pertahanan data bisnis pada akhirnya hanya sekuat mata rantai terlemah dalam rantai pasokan mereka.

Agar aman, bisnis harus merobohkan tembok yang telah mereka bangun

Situs web dan aplikasi yang berada di bawah pengawasan tim pemasaran dapat menjadi titik buta bagi tim TI dan keamanan, karena fokus inti mereka biasanya pada server dan infrastruktur. Namun, pada platform pemasaran inilah konsumen mempercayakan data mereka.

Banyak perusahaan gagal dalam keamanan karena kebingungan seputar kepemilikan dan kurangnya visibilitas rantai pasokan situs web. Ini adalah sesuatu yang Ticketmaster temukan selama pelanggaran tahun lalu, di mana peretas menargetkan vendor pihak ketiga dan menyuntikkan kode JavaScript berbahaya ke halaman pembayaran. Itulah kesamaan dari ancaman ini, kami baru-baru ini menemukan bahwa 79,5 persen eksekutif mengakui bahwa mengintegrasikan teknologi pihak ketiga ke dalam situs web meningkatkan risiko kebocoran data.

Organisasi mulai memahami implikasi serius dari tidak memiliki pandangan menyeluruh ini, tetapi ada lebih banyak pekerjaan yang harus dilakukan. Meningkatkan keterampilan dan menciptakan tim hibrida adalah kunci untuk memastikan bahwa pandangan holistik tentang keamanan ini dimungkinkan.

Tanpa pertahanan web, bisnis sedang berjuang untuk kalah

Satu tahun berlalu dan kami masih menggedor drum yang sama, tetapi penting bagi organisasi untuk mendengarkan dan mengambil tindakan terkait keamanan situs web. Satu-satunya cara bisnis dapat mengurangi risiko pelanggaran adalah dengan melakukan uji tuntas menyeluruh dan menerapkan tindakan pencegahan yang tepat - mulai dari memilih tim yang baik hingga berinvestasi dalam solusi teknologi.

Skala ancaman di seluruh lanskap adalah tanda yang jelas dan jelas tentang apa yang dipertaruhkan oleh perusahaan dengan tidak melakukannya. AV-TEST Institute melaporkan bahwa 856 juta varian malware dibuat tahun lalu saja dan ini akan meningkat di bulan-bulan mendatang.

Pada akhirnya, tidak akan lama bagi penjahat dunia maya untuk mengidentifikasi kekurangan platform digital, terutama di mana bisnis tidak menuntut sistem keamanan yang ketat diterapkan dan diperbarui secara konsisten.

GDPR telah mengungkap masalah yang bahkan tidak disadari oleh banyak perusahaan - dan undang-undang UE lainnya seperti petunjuk layanan pembayaran kedua (PSD2) kemungkinan akan mengungkap pengungkapan lebih lanjut. Ini, dalam jangka panjang, adalah hal yang baik bagi pemilik data dan juga pelanggan mereka.

Perusahaanlah yang merupakan penjaga gerbang data pelanggan dan tanggung jawab ini perlu diterima secara lebih luas untuk mencegah peretasan dan menyelaraskan tim untuk mengurangi risiko. Mereka yang tidak akan menjadi korban pelanggaran data berikutnya dan menghadapi konsekuensi lebih dari sekedar denda yang besar.