GDPRはサイバーセキュリティの競争の場をどのように変えましたか?

公開: 2022-04-12

一般データ保護規則(GDPR)が施行されて以来、データ侵害は依然として一般的な発生です。 企業は、顧客のデータを保護するために、まだ作業を切り詰めています。 過去12か月から何を学び、業界は今後どのように改善できるでしょうか。

2018年は、データプライバシーのターニングポイントになるはずでした。 ちょうど1年以上前に、GDPRは、消費者のデータをより適切に保護し、ブランドにデータのプライバシーと保護に対する責任を強化するように促すために、欧州連合によって導入されました。

企業がコンプライアンスを急ぐにつれて、GDPRが提示するタスクの規模を過小評価していたデータ所有者にとっては苦痛なプロセスになることがすぐに明らかになりました。

1年後、ほとんどの企業は、準拠していると確信しているようです。少なくとも、準拠していると言っています。 ただし、過去12か月間、世界で最も有名な企業の一部は、データの収集、保存、保護に関する精査にもかかわらず、不十分なデータ慣行と重大な違反で非難されてきました。

たとえば、アメリカの質問と回答のWebサイトQuoraを取り上げます。 CEOのAdamD'Angeloは、2018年11月にシステムの1つに不正アクセスした第三者によってユーザーデータが侵害されたことを明らかにしました。ハッカーは、インポートされたソーシャルネットワークから1億人のユーザーの名前、メール、暗号化されたパスワード、その他のデータを盗みました。 。 これは大規模な評判の危機であり、顧客の信頼に大きな影響を及ぼしました。

ただし、Quoraは昨年は外れ値ではありませんでした。 これは、Facebook、Ticketmaster、Vision Directなど、多くの企業が大規模な攻撃を経験している氷山の一角にすぎませんでした。これは、ブランド全体に対する消費者の信頼をさらに損なうものです。

データ漏えいを経験したり、消費者の個人情報(PII)を危険にさらしたりすることを望んでいる企業はありませんが、現在でも、多くの組織はデータ漏えいやGDPR違反を防ぐのに十分な対策を講じていません。 では、昨年、私たちは何を学び、業界は今後どのように改善できるでしょうか。

ハッカーは弱いリンクを特定するための努力を2倍にしました

新しい規制はデータ慣行に光を当て、企業に新しいプロセスの採用を強制しましたが、ハッカーを阻止していません。 過去6か月だけでも、さらに多くのサイバー犯罪が発生しています。

Magecartは、有名なグループの1つであり、クレジットカードスキミングマルウェアをWebサイトに挿入し、CVVコードから名前や住所まで、顧客の支払いの詳細を盗むことで、見出しの後に見出しを生成します。 しかし、これらのハッカーが大規模なeコマースプレーヤーを標的にしているだけだと思って騙されないでください。 ちょうど今月、グループはForbesのサブスクリプションWebサイトをターゲットにして、チェックアウトページにMagecartJavaScriptをサイトに挿入しました。

多くの組織にとって、Webサイト攻撃の増加は懸念の原因であり、脅威は高度化する中でのみ増大しています。ハッカーはますます賢くなっています。 私たちの新しい調査によると、経営幹部の90%近くが、注目を集める侵害の増加を懸念しているか、非常に懸念しています。 コメンテーターは、これらのサイバー犯罪組織が企業の防御に大規模に侵入するための人工知能ソリューションを開発していると主張しています。 それは確かに私たちが将来もっと見ることができると期待できるものなので、彼らは心配するのは正しいです。

多くのハッカーは、基本的なセキュリティ対策が講じられていない企業を標的にしています。 たとえば、保護とは、企業のWebサイトでアクティブになっている許可されていないサードパーティのテクノロジを監視することを意味します。 組織は、潜在的な脆弱性がどこにあるのかを理解できるようになるため、Webサイトのサプライチェーンの全体像を把握するために必要な困難な方法を学ぶ必要があります。 企業のデータ防御は、最終的にはサプライチェーンの最も弱いリンクと同じくらい強力です。

安全を確保するために、企業は構築した壁を破壊する必要があります

マーケティングチームの管理下にあるWebサイトとアプリは、ITチームとセキュリティチームにとって盲点となる可能性があります。これは、従来、サーバーとインフラストラクチャに重点が置かれているためです。 ただし、消費者がデータを信頼するのはこれらのマーケティングプラットフォームです。

多くの企業は、所有権に関するこの混乱とWebサイトのサプライチェーンの可視性の欠如のために、セキュリティが不足しています。 これは、Ticketmasterが昨年の違反で発見したもので、ハッカーがサードパーティベンダーを標的にして、支払いページに悪意のあるJavaScriptコードを挿入しました。 これがこの脅威の共通点です。最近、エグゼクティブの79.5%が、サードパーティのテクノロジーをWebサイトに統合するとデータ漏洩のリスクが高まることを認識していることがわかりました。

組織は、この包括的な見解を持たないことの重大な影響を理解し始めていますが、やるべきことはまだたくさんあります。 スキルアップとハイブリッドチームの作成は、セキュリティのこの全体的なビューが可能であることを保証するための鍵です。

Web防御がなければ、企業は敗戦を戦っています

1年経った今でも同じドラムを叩いていますが、Webサイトのセキュリティに関しては、組織が耳を傾け、行動を起こすことが不可欠です。 企業が侵害のリスクを軽減できる唯一の方法は、徹底的なデューデリジェンスを実施し、適切な予防策を実施することです。これは、優れたチームの選択からテクノロジーソリューションへの投資までです。

全体的な脅威の規模は、企業がそうしないことによって何を危険にさらしているのかを明確かつ明白に示しています。 AV-TEST Instituteは、昨年だけで8億5600万のマルウェアの亜種が作成されたと報告しており、これは今後数か月で増加するでしょう。

最終的に、サイバー犯罪者がデジタルプラットフォームの不足を特定するのにそれほど時間はかかりません。特に、企業が厳格なセキュリティシステムの実装と一貫した更新を要求していない場合はそうです。

GDPRは、多くの企業が認識していなかった問題を明らかにしました。また、第2の決済サービス指令(PSD2)などの他のEU法は、さらに多くの啓示を明らかにする可能性があります。 これは、長期的には、データ所有者とその顧客にとって良いことです。

顧客データのゲートキーパーであるのは企業であり、ハッキングを防ぎ、リスクを軽減するためにチームを調整するために、この責任をより広く受け入れる必要があります。 そうしない人は、次のデータ侵害の犠牲者になり、多額の罰金よりも多くの結果に直面します。