Jak RODO zmieniło pole gry w cyberbezpieczeństwie?

Naruszenia danych nadal są częstym zjawiskiem – nawet od czasu wprowadzenia w życie ogólnego rozporządzenia o ochronie danych (RODO). Firmy wciąż mają odciętą pracę, aby chronić dane swoich klientów. Czego nauczyliśmy się w ciągu ostatnich 12 miesięcy i jak branża może się rozwijać?

Rok 2018 miał być punktem zwrotnym dla prywatności danych. Nieco ponad rok temu RODO zostało wprowadzone przez Unię Europejską, aby lepiej chronić dane konsumentów i zachęcać marki do większej odpowiedzialności za prywatność i ochronę danych.

W miarę jak firmy pospiesznie dążyły do ​​zapewnienia zgodności, szybko stało się jasne, że będzie to bolesny proces dla właścicieli danych, którzy nie docenili skali zadania, jakie przedstawiło RODO.

Po upływie roku większość firm wydaje się być przekonana, że ​​postępuje zgodnie z przepisami – lub przynajmniej tak twierdzi. Jednak w ciągu ostatnich dwunastu miesięcy niektóre z najbardziej znanych firm na świecie znalazły się pod ostrzałem z powodu złych praktyk dotyczących danych i poważnych naruszeń – niezależnie od dokładniejszej kontroli gromadzenia, przechowywania i ochrony danych.

Weźmy na przykład amerykańską stronę z pytaniami i odpowiedziami, Quora. Dyrektor generalny Adam D'Angelo ujawnił, że dane użytkowników zostały naruszone przez stronę trzecią, która uzyskała nieautoryzowany dostęp do jednego z jej systemów w listopadzie 2018 r. Hakerzy ukradli z importowanych sieci społecznościowych nazwiska 100 milionów użytkowników, e-maile, zaszyfrowane hasła i inne dane . To był ogromny kryzys reputacji i miał głęboki wpływ na zaufanie klientów.

Jednak Quora nie była wyjątkiem w zeszłym roku. To był tylko wierzchołek góry lodowej, ponieważ wiele firm doświadczyło ataków na dużą skalę, w tym Facebooka, Ticketmaster i Vision Direct, co jeszcze bardziej niweczyło zaufanie konsumentów do marek na całym świecie.

Żadna firma nie chce doświadczyć naruszenia bezpieczeństwa danych ani narazić na niebezpieczeństwo danych osobowych swoich konsumentów, ale nawet teraz wiele organizacji nie robi wystarczająco dużo, aby zapobiec naruszeniu danych lub naruszeniu RODO. Czego więc nauczyliśmy się w ciągu ostatniego roku i jak branża może się rozwijać?

Hakerzy podwoili wysiłki w celu zidentyfikowania słabych ogniw

Chociaż nowe przepisy rzuciły światło na praktyki dotyczące danych i zmusiły firmy do stosowania nowych procesów, nie odstraszyło to hakerów. Tylko w ciągu ostatnich sześciu miesięcy widzieliśmy jeszcze więcej cyberprzestępczości.

Magecart to jedna z bardziej znanych grup, która generuje nagłówki po nagłówkach, wstrzykując złośliwe oprogramowanie do stron internetowych z kartami kredytowymi i kradnąc szczegóły płatności klientów – od kodów CVV po nazwiska i adresy. Ale nie daj się zwieść myśleniu, że ci hakerzy atakują tylko dużych graczy e-commerce. Tylko w tym miesiącu grupa zaatakowała stronę subskrypcji Forbesa, wstrzykując do niej skrypt JavaScript Magecart na stronie kasy.

Dla wielu organizacji wzrost liczby ataków na strony internetowe jest powodem do niepokoju, a zagrożenia stają się coraz bardziej wyrafinowane – hakerzy stają się coraz mądrzejsi. Nasze nowe badanie wykazało, że prawie 90 procent dyrektorów jest zaniepokojonych lub bardzo zaniepokojonych wzrostem głośnych naruszeń. Komentatorzy twierdzą, że te cyberprzestępcze gangi opracowują rozwiązania sztucznej inteligencji, aby infiltrować zabezpieczenia firm na dużą skalę. Mają rację, że się martwią, ponieważ jest to z pewnością coś, czego możemy się spodziewać w przyszłości.

Wielu hakerów atakuje firmy, które nie posiadają podstawowych środków bezpieczeństwa. Na przykład ochrona może oznaczać nadzorowanie nieautoryzowanych technologii innych firm, które są aktywne w witrynie internetowej firmy. Organizacje muszą się na własnej skórze nauczyć, że muszą mieć całościowy obraz łańcucha dostaw swojej witryny, ponieważ tylko wtedy są w stanie zrozumieć, gdzie leżą potencjalne luki w zabezpieczeniach. Ochrona danych firm jest ostatecznie tak silna, jak najsłabsze ogniwo w ich łańcuchu dostaw.

Aby być bezpiecznym, firmy muszą zburzyć zbudowane przez siebie mury

Witryny i aplikacje, które znajdują się pod opieką zespołów marketingowych, mogą stanowić ślepy punkt dla zespołów IT i bezpieczeństwa, ponieważ ich główny nacisk tradycyjnie koncentruje się na serwerach i infrastrukturze. Jednak to właśnie na tych platformach marketingowych konsumenci powierzają swoje dane.

Wiele firm nie zapewniło sobie bezpieczeństwa z powodu tego zamieszania wokół własności i braku widoczności łańcucha dostaw strony internetowej. To jest coś, o czym Ticketmaster dowiedział się podczas zeszłorocznego włamania, w którym hakerzy wzięli na cel zewnętrznych dostawców i wstrzyknęli złośliwy kod JavaScript na stronę płatności. Taka jest powszechność tego zagrożenia. Niedawno odkryliśmy, że 79,5% kadry kierowniczej przyznaje, że integracja technologii stron trzecich ze stroną internetową zwiększa ryzyko wycieku danych.

Organizacje zaczynają rozumieć poważne konsekwencje braku tego nadrzędnego poglądu, ale jest jeszcze więcej do zrobienia. Podnoszenie umiejętności i tworzenie zespołów hybrydowych jest kluczem do zapewnienia, że ​​ten holistyczny pogląd na bezpieczeństwo jest możliwy.

Bez zabezpieczeń sieciowych firmy toczą przegraną bitwę

Rok później nadal walimy w ten sam bęben, ale ważne jest, aby organizacje słuchały i podejmowały działania, jeśli chodzi o bezpieczeństwo witryny. Jedynym sposobem, w jaki firmy mogą zminimalizować ryzyko naruszenia, jest przeprowadzenie dokładnej analizy due diligence i wdrożenie odpowiednich środków ostrożności – od wyboru dobrego zespołu po inwestycje w rozwiązania technologiczne.

Skala zagrożeń w całym krajobrazie jest jasnym i oczywistym znakiem tego, na co firmy ryzykują, nie robiąc tego. AV-TEST Institute poinformował, że tylko w zeszłym roku powstało 856 milionów wariantów złośliwego oprogramowania, a liczba ta wzrośnie w nadchodzących miesiącach.

Ostatecznie cyberprzestępcy szybko zidentyfikują braki platformy cyfrowej, zwłaszcza takiej, na której firmy nie wymagały wdrażania i konsekwentnej aktualizacji rygorystycznych systemów bezpieczeństwa.

RODO ujawniło problemy, o których wiele firm nawet nie wiedziało – a inne przepisy UE, takie jak druga dyrektywa w sprawie usług płatniczych (PSD2), prawdopodobnie ujawnią jeszcze dalsze rewelacje. Na dłuższą metę jest to dobra rzecz dla właścicieli danych, a także ich klientów.

To firmy są strażnikami danych klientów i ta odpowiedzialność musi być szerzej akceptowana, aby zapobiegać włamaniom i dostosowywać zespoły w celu ograniczenia ryzyka. Ci, którzy tego nie zrobią, staną się kolejnymi ofiarami naruszenia danych i poniosą więcej konsekwencji niż tylko wysoka grzywna.