GDPR은 사이버 보안 분야를 어떻게 변화시켰습니까?

GDPR(일반 데이터 보호 규정)이 시행된 후에도 데이터 침해는 여전히 흔한 일입니다. 기업은 여전히 ​​고객의 데이터를 보호하기 위해 작업을 중단해야 합니다. 지난 12개월 동안 우리는 무엇을 배웠고 업계가 앞으로 어떻게 개선할 수 있습니까?

2018년은 데이터 프라이버시의 전환점이 되어야 했습니다. 불과 1년 전, GDPR은 소비자 데이터를 더 잘 보호하고 브랜드가 데이터 개인 정보 보호 및 보호에 더 많은 책임을 지도록 촉구하기 위해 유럽 연합에서 도입되었습니다.

기업이 규정 준수를 서두르면서 GDPR이 제시하는 작업의 규모를 과소평가한 데이터 소유자에게 고통스러운 프로세스가 될 것이라는 것이 빠르게 분명해졌습니다.

1년이 지난 지금 대부분의 기업은 규정을 준수하고 있다고 확신하는 것 같습니다. 그러나 지난 12개월 동안 세계에서 가장 잘 알려진 회사 중 일부는 데이터 수집, 저장 및 보호에 대한 면밀한 조사에도 불구하고 부실한 데이터 관행과 중대한 위반으로 비난을 받았습니다.

예를 들어 미국의 질문과 답변 웹사이트인 Quora를 예로 들어 보겠습니다. CEO Adam D'Angelo는 2018년 11월에 시스템 중 하나에 무단으로 액세스한 제3자에 의해 사용자 데이터가 손상되었다고 밝혔습니다. 해커는 가져온 소셜 네트워크에서 1억 명의 사용자 이름, 이메일, 암호화된 암호 및 기타 데이터를 훔쳤습니다. . 그것은 엄청난 평판 위기였으며 고객 신뢰에 지대한 영향을 미쳤습니다.

그러나 Quora는 작년에 이상치가 아니었습니다. 이는 Facebook, Ticketmaster 및 Vision Direct를 포함하여 많은 기업이 대규모 공격을 경험하면서 빙산의 일각에 불과했으며, 이는 전반적으로 브랜드에 대한 소비자 신뢰를 더욱 손상시켰습니다.

어떤 기업도 데이터 침해를 경험하거나 소비자의 개인 식별 정보(PII)를 위험에 빠뜨리는 것을 원하지 않지만, 지금도 많은 조직이 데이터 침해 또는 GDPR 침해를 방지하기 위해 충분한 조치를 취하지 않고 있습니다. 그렇다면 우리는 지난 해에 무엇을 배웠고 앞으로 업계가 어떻게 개선될 수 있습니까?

해커는 취약한 링크를 식별하기 위해 두 배로 노력했습니다.

새로운 규정이 데이터 관행에 빛을 비추고 기업이 새로운 프로세스를 채택하도록 했지만 해커를 막지는 못했습니다. 지난 6개월 동안만 해도 우리는 훨씬 더 많은 사이버 범죄를 목격했습니다.

Magecart는 웹사이트에 신용 카드 스키밍 멀웨어를 삽입하고 CVV 코드에서 이름 및 주소에 이르기까지 고객의 결제 세부 정보를 훔쳐 헤드라인을 장식하는 더 잘 알려진 그룹 중 하나입니다. 그러나 이러한 해커가 큰 전자 상거래 플레이어를 대상으로 한다고 생각하는 속임수는 아닙니다. 바로 이번 달에 이 그룹은 Forbes의 구독 웹사이트를 목표로 하여 사이트 체크아웃 페이지에 Magecart JavaScript를 삽입했습니다.

많은 조직에서 웹사이트 공격의 증가는 우려의 원인이 되며 위협은 점점 정교해지고 있습니다. 해커는 훨씬 더 똑똑해지고 있습니다. 우리의 새로운 연구에 따르면 거의 90%의 경영진이 세간의 이목을 끄는 침해의 증가에 대해 우려하거나 매우 우려하고 있습니다. 논평가들은 이러한 사이버 범죄 조직이 기업의 방어 체계에 대규모로 침투하기 위해 인공 지능 솔루션을 개발하고 있다고 주장합니다. 분명히 우리가 미래에 더 많이 볼 것으로 기대할 수 있는 것이기 때문에 그들은 우려하는 것이 옳습니다.

많은 해커가 기본적인 보안 조치를 취하지 않은 회사를 표적으로 삼습니다. 예를 들어, 보호는 기업 웹사이트에서 활성화된 승인되지 않은 제3자 기술을 감독하는 것을 의미할 수 있습니다. 조직은 웹사이트 공급망에 대한 전체적인 관점을 가져야 한다는 어려운 방법을 배워야만 잠재적인 취약점이 어디에 있는지 이해할 수 있습니다. 기업의 데이터 방어는 궁극적으로 공급망에서 가장 약한 고리만큼만 강력합니다.

보안을 유지하려면 기업이 구축한 벽을 허물어야 합니다.

마케팅 팀이 관리하는 웹 사이트와 앱은 전통적으로 서버와 인프라에 중점을 두고 있기 때문에 IT 및 보안 팀에게 사각 지대가 될 수 있습니다. 그러나 소비자가 데이터를 신뢰하는 것은 이러한 마케팅 플랫폼에 있습니다.

소유권에 대한 이러한 혼란과 웹사이트 공급망에 대한 가시성 부족으로 인해 많은 기업이 보안에 취약해졌습니다. 이는 Ticketmaster가 작년에 해커가 제3자 공급업체를 표적으로 삼고 결제 페이지에 악성 JavaScript 코드를 삽입한 침해 사고 중에 발견한 것입니다. 이것이 이 위협의 공통점입니다. 최근 경영진의 79.5%가 타사 기술을 웹사이트에 통합하면 데이터 유출 위험이 증가한다는 사실을 인식하고 있음을 발견했습니다.

조직은 이러한 포괄적인 관점이 없는 것의 중대한 의미를 이해하기 시작했지만 해야 할 일이 더 있습니다. 하이브리드 팀의 기술 향상 및 생성은 보안에 대한 이러한 전체적인 관점을 가능하게 하는 핵심입니다.

웹 방어 없이 기업은 지는 싸움을 하고 있습니다.

1년이 지난 지금도 우리는 여전히 같은 소리를 내고 있지만 웹사이트 보안에 관해서는 조직이 경청하고 조치를 취하는 것이 중요합니다. 기업이 침해 위험을 완화할 수 있는 유일한 방법은 철저한 실사를 수행하고 우수한 팀을 선택하는 것부터 기술 솔루션에 대한 투자에 이르기까지 올바른 예방 조치를 구현하는 것입니다.

환경 전반에 걸친 위협의 규모는 기업이 그렇게 하지 않음으로써 위험을 감수하는 것에 대한 명확하고 분명한 신호입니다. AV-TEST Institute는 작년에만 8억 5,600만 개의 악성 코드 변종이 생성되었으며 앞으로 몇 개월 내에 증가할 것이라고 보고했습니다.

궁극적으로 사이버 범죄자가 디지털 플랫폼, 특히 기업이 엄격한 보안 시스템을 구현하고 지속적으로 업데이트할 것을 요구하지 않는 플랫폼의 단점을 식별하는 데 오랜 시간이 걸리지 않을 것입니다.

GDPR은 많은 기업이 인식하지 못한 문제를 노출했으며 두 번째 지불 서비스 지침(PSD2)과 같은 다른 EU 법률은 더 많은 폭로를 밝힐 가능성이 있습니다. 이것은 장기적으로 데이터 소유자와 고객에게 좋은 일입니다.

고객 데이터의 게이트키퍼는 회사이며 이러한 책임은 해킹을 방지하고 위험을 완화하기 위해 팀을 조정하기 위해 보다 광범위하게 수용되어야 합니다. 그렇지 않은 사람들은 다음 데이터 유출 피해자가 될 것이며 막대한 벌금보다 더 많은 결과에 직면하게 될 것입니다.