Como o GDPR mudou o campo de atuação da segurança cibernética?

As violações de dados ainda são uma ocorrência comum - mesmo desde que o Regulamento Geral de Proteção de Dados (GDPR) foi aplicado. As empresas ainda têm seu trabalho cortado para proteger os dados de seus clientes. O que aprendemos nos últimos 12 meses e como o setor pode melhorar no futuro?

2018 deveria ser um ponto de virada para a privacidade de dados. Há pouco mais de um ano, o GDPR foi introduzido pela União Europeia para proteger melhor os dados dos consumidores e instar as marcas a serem mais responsáveis ​​pela privacidade e proteção dos dados.

À medida que as empresas corriam para se tornar compatíveis, rapidamente ficou claro que seria um processo doloroso para os proprietários de dados que subestimaram a escala da tarefa apresentada pelo GDPR.

Um ano depois, a maioria das empresas parece confiante de que está em conformidade – ou pelo menos diz que está. No entanto, nos últimos doze meses, algumas das empresas mais conhecidas do mundo foram criticadas por práticas inadequadas de dados e violações significativas - independentemente de maior escrutínio na coleta, armazenamento e proteção de dados.

Veja o site americano de perguntas e respostas, Quora, por exemplo. O CEO Adam D'Angelo revelou que os dados do usuário foram comprometidos por um terceiro que obteve acesso não autorizado a um de seus sistemas em novembro de 2018. Os hackers roubaram 100 milhões de nomes de usuários, e-mails, senhas criptografadas e outros dados de redes sociais que foram importados . Foi uma enorme crise de reputação e teve um efeito profundo na confiança do cliente.

O Quora, no entanto, não foi uma exceção no ano passado. Esta foi apenas a ponta do iceberg, com muitas empresas sofrendo ataques em larga escala, incluindo Facebook, Ticketmaster e Vision Direct – prejudicando ainda mais a confiança do consumidor nas marcas em geral.

Nenhuma empresa deseja sofrer uma violação de dados ou colocar as informações de identificação pessoal (PII) de seus consumidores em risco, mas, mesmo agora, muitas organizações não estão fazendo o suficiente para impedir uma violação de dados ou violação do GDPR. Então, o que aprendemos no ano passado e como a indústria pode melhorar no futuro?

Hackers dobraram seus esforços para identificar elos fracos

Embora a nova regulamentação tenha esclarecido as práticas de dados e forçado as empresas a empregar novos processos, isso não impediu os hackers. Nos últimos seis meses, vimos ainda mais crimes cibernéticos.

Magecart é um dos grupos mais conhecidos, gerando manchete após manchete injetando malware de clonagem de cartão de crédito em sites e roubando detalhes de pagamento dos clientes - de códigos CVV a nomes e endereços. Mas não se engane pensando que esses hackers visam apenas grandes players de comércio eletrônico. Apenas este mês, o grupo teve como alvo o site de assinatura da Forbes, injetando no site um JavaScript Magecart em sua página de checkout.

Para muitas organizações, o aumento de ataques a sites é motivo de preocupação e as ameaças estão crescendo em sofisticação - os hackers estão ficando muito mais inteligentes. Nossa nova pesquisa descobriu que quase 90% dos executivos estão preocupados ou muito preocupados com o aumento de violações de alto perfil. Os comentaristas argumentam que essas gangues de cibercriminosos estão desenvolvendo soluções de Inteligência Artificial para se infiltrar nas defesas das empresas em escala. Eles estão certos em se preocupar, pois certamente é algo que podemos esperar ver mais no futuro.

Muitos hackers têm como alvo empresas que não possuem medidas de segurança fundamentais em vigor. Por exemplo, proteção pode significar supervisionar tecnologias de terceiros não autorizadas que estão ativas no site de uma empresa. As organizações estão tendo que aprender da maneira mais difícil que precisam ter uma visão holística da cadeia de suprimentos de seu site, pois só assim podem entender onde estão as vulnerabilidades em potencial. Em última análise, as defesas de dados das empresas são tão fortes quanto o elo mais fraco de sua cadeia de suprimentos.

Para estar seguro, as empresas devem derrubar os muros que construíram

Sites e aplicativos que ficam sob os cuidados de equipes de marketing podem apresentar um ponto cego para equipes de TI e segurança, pois seu foco principal é tradicionalmente em servidores e infraestrutura. No entanto, é nessas plataformas de marketing que os consumidores confiam seus dados.

Muitas empresas ficaram aquém da segurança devido a essa confusão em torno da propriedade e falta de visibilidade da cadeia de suprimentos do site. Isso é algo que a Ticketmaster descobriu durante uma violação no ano passado, onde hackers atacaram fornecedores de terceiros e injetaram código JavaScript malicioso na página de pagamento. Essa é a semelhança dessa ameaça, descobrimos recentemente que 79,5% dos executivos reconhecem que a integração de tecnologias de terceiros em um site aumenta o risco de vazamento de dados.

As organizações estão começando a entender as graves implicações de não ter essa visão abrangente, mas há mais trabalho a ser feito. A qualificação e a criação de equipes híbridas são essenciais para garantir que essa visão holística da segurança seja possível.

Sem defesas na web, as empresas estão travando uma batalha perdida

Um ano depois, ainda estamos batendo no mesmo tambor, mas é essencial que as organizações ouçam e tomem medidas quando se trata de segurança de sites. A única maneira que as empresas podem mitigar o risco de uma violação é fazendo a devida diligência e implementando as precauções corretas - desde a seleção de uma boa equipe até o investimento em soluções de tecnologia.

A escala das ameaças em todo o cenário é um sinal claro e óbvio do que as empresas estão arriscando ao não fazê-lo. O AV-TEST Institute informou que 856 milhões de variantes de malware foram criadas apenas no ano passado e isso aumentará nos próximos meses.

Em última análise, não demorará muito para que os cibercriminosos identifiquem as deficiências de uma plataforma digital, principalmente uma em que as empresas não exigiram que sistemas de segurança rigorosos fossem implementados e atualizados de forma consistente.

O GDPR expôs os problemas que muitas empresas nem conheciam - e outras leis da UE, como a segunda diretiva de serviços de pagamento (PSD2), provavelmente descobrirão ainda mais revelações. Isso, a longo prazo, é bom para os proprietários de dados e também para seus clientes.

São as empresas que são as guardiãs dos dados dos clientes e essa responsabilidade precisa ser mais amplamente aceita para evitar hacks e alinhar as equipes para mitigar os riscos. Aqueles que não se tornarem as próximas vítimas de violação de dados e enfrentarão mais consequências do que apenas uma multa pesada.