Cum a schimbat GDPR domeniul de joc al securității cibernetice?

Încălcările de date sunt încă o întâmplare obișnuită - chiar și de când a fost aplicat Regulamentul general privind protecția datelor (GDPR). Companiile încă mai au de lucru pentru a-și proteja datele clienților. Ce am învățat din ultimele 12 luni și cum se poate îmbunătăți industria în continuare?

2018 trebuia să fie un punct de cotitură pentru confidențialitatea datelor. Cu puțin peste un an în urmă, GDPR a fost introdus de Uniunea Europeană pentru a proteja mai bine datele consumatorilor și pentru a îndemna mărcile să fie mai responsabile pentru confidențialitatea și protecția datelor.

Pe măsură ce companiile s-au grăbit să devină conforme, a devenit rapid clar că va fi un proces dureros pentru proprietarii de date care au subestimat amploarea sarcinii pe care o prezenta GDPR.

După un an și majoritatea companiilor par încrezătoare că sunt conforme – sau cel puțin spun că sunt. Cu toate acestea, în ultimele douăsprezece luni, unele dintre cele mai cunoscute companii din lume au fost criticate pentru practici necorespunzătoare de date și încălcări semnificative - indiferent de o mai mare atenție asupra colectării, stocării și protecției datelor.

Luați site-ul american de întrebări și răspunsuri, Quora, de exemplu. CEO Adam D'Angelo a dezvăluit că datele utilizatorilor au fost compromise de o terță parte care a obținut acces neautorizat la unul dintre sistemele sale în noiembrie 2018. Hackerii au furat numele a 100 de milioane de utilizatori, e-mailuri, parole criptate și alte date din rețelele sociale care au fost importate. . A fost o criză de reputație masivă și a avut un efect profund asupra încrederii clienților.

Cu toate acestea, Quora nu a fost o situație anormală anul trecut. Acesta a fost doar vârful aisbergului, multe companii care se confruntă cu atacuri la scară largă, inclusiv Facebook, Ticketmaster și Vision Direct - dăunând și mai mult încrederii consumatorilor în mărci la nivel general.

Nicio companie nu vrea să se confrunte cu o încălcare a datelor sau să pună în pericol informațiile de identificare personală (PII) ale consumatorilor, dar chiar și acum, multe organizații nu fac suficient pentru a preveni o încălcare a datelor sau o încălcare a GDPR. Deci, ce am învățat în ultimul an și cum se poate îmbunătăți industria în continuare?

Hackerii și-au dublat eforturile pentru a identifica legăturile slabe

În timp ce noua reglementare a scos în lumină practicile privind datele și a forțat întreprinderile să utilizeze noi procese, aceasta nu a descurajat hackerii. Numai în ultimele șase luni am văzut și mai multe infracțiuni cibernetice.

Magecart este unul dintre cele mai cunoscute grupuri, generând titlu după titlu prin injectarea de programe malware de skiming carduri de credit în site-uri web și furtul detaliilor de plată ale clienților - de la coduri CVV la nume și adrese. Dar nu vă lăsați păcăliți crezând că acești hackeri vizează doar jucătorii mari de comerț electronic. Chiar în această lună, grupul a vizat site-ul de abonament al Forbes, injectând site-ul cu un JavaScript Magecart pe pagina lor de plată.

Pentru multe organizații, creșterea numărului de atacuri pe site-uri web este un motiv de îngrijorare, iar amenințările cresc în sofisticare - hackerii devin mult mai inteligenți. Noua noastră cercetare a constatat că aproape 90% dintre directori sunt fie îngrijorați, fie foarte îngrijorați de creșterea încălcărilor importante. Comentatorii susțin că aceste bande de criminali cibernetici dezvoltă soluții de inteligență artificială pentru a se infiltra în apărarea întreprinderilor la scară. Au dreptate să fie îngrijorați, deoarece este cu siguranță ceva despre care ne putem aștepta să vedem mai mult în viitor.

Mulți hackeri vizează companiile care nu au măsuri fundamentale de securitate în vigoare. De exemplu, protecția poate însemna supravegherea tehnologiilor terțe neautorizate care sunt active pe site-ul web al unei companii. Organizațiile trebuie să învețe pe calea grea că trebuie să aibă o viziune holistică asupra lanțului lor de aprovizionare a site-urilor web, deoarece numai atunci sunt capabile să înțeleagă unde se află potențialele vulnerabilități. Apărarea datelor companiilor este în cele din urmă la fel de puternică ca veriga cea mai slabă a lanțului lor de aprovizionare.

Pentru a fi sigure, companiile trebuie să doboare zidurile pe care le-au construit

Site-urile web și aplicațiile care intră în grija echipelor de marketing pot reprezenta un punct orb pentru echipele IT și de securitate, deoarece se concentrează în mod tradițional pe servere și infrastructură. Cu toate acestea, consumatorii își încredințează datele pe aceste platforme de marketing.

Multe companii nu au ajuns la securitate din cauza acestei confuzii în legătură cu proprietatea și lipsa de vizibilitate a lanțului de aprovizionare a site-ului web. Acesta este ceva ce Ticketmaster a descoperit în timpul unei încălcări anul trecut, în care hackerii au vizat furnizori terți și au injectat cod JavaScript rău intenționat pe pagina de plată. Acesta este caracterul comun al acestei amenințări, am descoperit recent că 79,5% dintre directori recunosc că integrarea tehnologiilor terțe într-un site web crește riscul scurgerii de date.

Organizațiile încep să înțeleagă implicațiile grave de a nu avea această viziune globală, dar mai este de făcut. Îmbunătățirea competențelor și crearea de echipe hibride sunt cheia pentru a vă asigura că această viziune holistică a securității este posibilă.

Fără apărări web, companiile duc o bătălie pierdută

După un an și încă batem din aceeași tobă, dar este esențial ca organizațiile să asculte și să ia măsuri atunci când vine vorba de securitatea site-urilor web. Singurul mod în care companiile pot atenua riscul unei încălcări este să efectueze o diligență amănunțită și să pună în aplicare măsurile de precauție potrivite - de la selectarea unei echipe bune până la investiția în soluții tehnologice.

Amploarea amenințărilor din peisaj este un semn clar și evident al riscului pe care companiile nu fac acest lucru. Institutul AV-TEST a raportat că 856 de milioane de variante de malware au fost create doar anul trecut, iar acest lucru va crește în lunile următoare.

În cele din urmă, nu va dura mult până când infractorii cibernetici identifică deficiențele unei platforme digitale, în special una în care companiile nu au cerut ca sisteme de securitate riguroase să fie implementate și actualizate în mod constant.

GDPR a dezvăluit probleme de care multe companii nici măcar nu le cunoșteau - iar alte legi ale UE, cum ar fi a doua directivă privind serviciile de plată (PSD2) vor descoperi probabil și alte dezvăluiri. Acest lucru, pe termen lung, este un lucru bun pentru proprietarii de date și, de asemenea, clienții lor.

Companiile sunt gardienii datelor clienților și această responsabilitate trebuie să fie acceptată mai larg pentru a preveni hackurile și a alinia echipele pentru a reduce riscul. Cei care nu vor deveni următoarele victime ale încălcării datelor și se confruntă cu mai multe consecințe decât o amendă uriașă.