In che modo il GDPR ha cambiato il campo di gioco della sicurezza informatica?

Le violazioni dei dati sono ancora un evento comune, anche da quando è stato applicato il Regolamento generale sulla protezione dei dati (GDPR). Le aziende devono ancora lavorare per proteggere i dati dei propri clienti. Cosa abbiamo imparato negli ultimi 12 mesi e in che modo il settore può migliorare andando avanti?

Il 2018 doveva essere un punto di svolta per la privacy dei dati. Poco più di un anno fa, il GDPR è stato introdotto dall'Unione Europea per proteggere meglio i dati dei consumatori e sollecitare i marchi a essere più responsabili della privacy e della protezione dei dati.

Quando le aziende si sono affrettate a diventare conformi, è diventato subito chiaro che sarebbe stato un processo doloroso per i proprietari di dati che hanno sottovalutato la portata del compito presentato dal GDPR.

Un anno dopo, la maggior parte delle aziende sembra sicura di essere conforme, o almeno afferma di esserlo. Tuttavia, negli ultimi dodici mesi, alcune delle aziende più famose al mondo sono state prese di mira per pratiche di dati scadenti e violazioni significative, indipendentemente da un maggiore controllo sulla raccolta, l'archiviazione e la protezione dei dati.

Prendi il sito americano di domande e risposte, Quora, per esempio. Il CEO Adam D'Angelo ha rivelato che i dati degli utenti sono stati compromessi da una terza parte che ha ottenuto l'accesso non autorizzato a uno dei suoi sistemi nel novembre 2018. Gli hacker hanno rubato 100 milioni di nomi di utenti, e-mail, password crittografate e altri dati dai social network che sono stati importati . È stata una massiccia crisi reputazionale e ha avuto un profondo effetto sulla fiducia dei clienti.

Quora, tuttavia, non è stato un valore anomalo l'anno scorso. Questa è stata solo la punta dell'iceberg con molte aziende che hanno subito attacchi su larga scala, tra cui Facebook, Ticketmaster e Vision Direct, danneggiando ulteriormente la fiducia dei consumatori nei marchi su tutta la linea.

Nessuna azienda vuole subire una violazione dei dati o mettere a rischio le informazioni di identificazione personale (PII) dei propri consumatori, ma anche adesso molte organizzazioni non stanno facendo abbastanza per prevenire una violazione dei dati o una violazione del GDPR. Quindi cosa abbiamo imparato nell'ultimo anno e come può il settore migliorare andando avanti?

Gli hacker hanno raddoppiato i loro sforzi per identificare gli anelli deboli

Sebbene la nuova regolamentazione abbia fatto luce sulle pratiche relative ai dati e costretto le aziende a impiegare nuovi processi, non ha scoraggiato gli hacker. Solo negli ultimi sei mesi abbiamo assistito a un numero ancora maggiore di criminalità informatica.

Magecart è uno dei gruppi più noti, che genera titolo dopo titolo iniettando malware per lo skimming delle carte di credito nei siti Web e rubando i dettagli di pagamento dei clienti, dai codici CVV a nomi e indirizzi. Ma non lasciarti ingannare dal pensare che questi hacker prendono di mira solo i grandi giocatori di e-commerce. Proprio questo mese, il gruppo ha preso di mira il sito Web in abbonamento di Forbes, inserendo nel sito un JavaScript Magecart nella pagina di pagamento.

Per molte organizzazioni, l'aumento degli attacchi ai siti Web è motivo di preoccupazione e le minacce stanno aumentando solo in termini di sofisticatezza: gli hacker stanno diventando molto più intelligenti. La nostra nuova ricerca ha rilevato che quasi il 90% dei dirigenti è preoccupato o molto preoccupato per l'aumento di violazioni di alto profilo. I commentatori sostengono che queste bande di criminali informatici stanno sviluppando soluzioni di intelligenza artificiale per infiltrare le difese delle aziende su vasta scala. Hanno ragione a essere preoccupati perché è sicuramente qualcosa di cui possiamo aspettarci di vedere di più in futuro.

Molti hacker prendono di mira le aziende che non dispongono di misure di sicurezza fondamentali. Ad esempio, la protezione può significare la supervisione di tecnologie di terze parti non autorizzate attive sul sito Web di un'azienda. Le organizzazioni devono imparare a proprie spese che devono avere una visione olistica della catena di approvvigionamento del proprio sito Web, poiché solo allora sono in grado di capire dove si trovano le potenziali vulnerabilità. Le difese dei dati delle aziende sono in definitiva tanto forti quanto l'anello più debole della loro catena di approvvigionamento.

Per essere sicure, le aziende devono abbattere i muri che hanno costruito

I siti Web e le app che vengono gestiti dai team di marketing possono rappresentare un punto cieco per i team IT e di sicurezza, poiché il loro focus principale è tradizionalmente su server e infrastruttura. Tuttavia, è su queste piattaforme di marketing che i consumatori affidano i propri dati.

Molte aziende non sono state all'altezza della sicurezza a causa di questa confusione sulla proprietà e della mancanza di visibilità della catena di approvvigionamento del sito web. Questo è qualcosa che Ticketmaster ha scoperto durante una violazione dell'anno scorso, in cui gli hacker hanno preso di mira fornitori di terze parti e hanno iniettato codice JavaScript dannoso nella pagina di pagamento. Tale è la comunanza di questa minaccia, abbiamo recentemente scoperto che il 79,5% dei dirigenti riconosce che l'integrazione di tecnologie di terze parti in un sito Web aumenta il rischio di fuga di dati.

Le organizzazioni stanno iniziando a comprendere le gravi implicazioni del non avere questa visione generale, ma c'è ancora molto lavoro da fare. Il miglioramento delle competenze e la creazione di team ibridi sono fondamentali per garantire che questa visione olistica della sicurezza sia possibile.

Senza difese web, le aziende stanno combattendo una battaglia persa

Un anno dopo stiamo ancora suonando lo stesso tamburo, ma è essenziale che le organizzazioni ascoltino e agiscano quando si tratta di sicurezza del sito web. L'unico modo in cui le aziende possono mitigare il rischio di una violazione è eseguire un'accurata due diligence e implementare le giuste precauzioni, dalla selezione di un buon team all'investimento in soluzioni tecnologiche.

La portata delle minacce in tutto il panorama è un segno chiaro ed evidente di ciò che le aziende rischiano se non lo fanno. L'AV-TEST Institute ha riferito che solo l'anno scorso sono state create 856 milioni di varianti di malware e che aumenteranno nei mesi a venire.

In definitiva, i criminali informatici non impiegheranno molto a identificare le carenze di una piattaforma digitale, in particolare quella in cui le aziende non hanno richiesto l'implementazione e il costante aggiornamento di sistemi di sicurezza rigorosi.

Il GDPR ha esposto i problemi di cui molte aziende non erano nemmeno a conoscenza e altre leggi dell'UE come la seconda direttiva sui servizi di pagamento (PSD2) probabilmente sveleranno ulteriori rivelazioni. Questo, a lungo termine, è una buona cosa per i proprietari di dati e anche per i loro clienti.

Sono le aziende i guardiani dei dati dei clienti e questa responsabilità deve essere accettata in modo più ampio per prevenire gli hack e allineare i team per mitigare i rischi. Quelli che non lo faranno diventeranno le prossime vittime di violazione dei dati e dovranno affrontare più conseguenze di una semplice multa.