Как GDPR изменил игровое поле кибербезопасности?

Утечки данных по-прежнему являются обычным явлением, даже после вступления в силу Общего регламента по защите данных (GDPR). Предприятиям по-прежнему не хватает работы по защите данных своих клиентов. Чему мы научились за последние 12 месяцев и как можно улучшить отрасль в будущем?

2018 год должен был стать поворотным моментом для конфиденциальности данных. Чуть более года назад Европейский Союз ввел GDPR, чтобы лучше защитить данные потребителей и призвать бренды нести большую ответственность за конфиденциальность и защиту данных.

По мере того, как предприятия спешили соответствовать требованиям, быстро стало ясно, что это будет болезненный процесс для владельцев данных, которые недооценили масштаб задачи, поставленной перед GDPR.

Прошел год, и большинство предприятий, кажется, уверены, что они соответствуют требованиям — или, по крайней мере, говорят, что они соответствуют. Однако за последние двенадцать месяцев некоторые из самых известных в мире компаний подверглись критике за плохую практику работы с данными и серьезные нарушения — независимо от более пристального внимания к сбору, хранению и защите данных.

Возьмем, к примеру, американский сайт вопросов и ответов Quora. Генеральный директор Адам Д'Анджело сообщил, что пользовательские данные были скомпрометированы третьей стороной, получившей несанкционированный доступ к одной из ее систем в ноябре 2018 года. Хакеры украли 100 миллионов имен пользователей, адресов электронной почты, зашифрованных паролей и других данных из социальных сетей, которые были импортированы. . Это был серьезный репутационный кризис, который сильно повлиял на доверие клиентов.

Однако Quora не стала исключением в прошлом году. Это была лишь верхушка айсберга: многие компании, в том числе Facebook, Ticketmaster и Vision Direct, подверглись крупномасштабным атакам, что еще больше подорвало доверие потребителей к брендам по всем направлениям.

Ни один бизнес не хочет сталкиваться с утечкой данных или подвергать опасности личную информацию своих потребителей (PII), но даже сейчас многие организации делают недостаточно для предотвращения утечки данных или нарушения GDPR. Итак, чему мы научились за последний год и как отрасль может развиваться дальше?

Хакеры удвоили усилия по выявлению слабых звеньев

Хотя новое регулирование пролило свет на практику работы с данными и вынудило предприятия использовать новые процессы, оно не отпугнуло хакеров. Только за последние шесть месяцев мы стали свидетелями еще большего количества киберпреступлений.

Magecart — одна из самых известных групп, генерирующих заголовок за заголовком, внедряя вредоносное ПО для скимминга кредитных карт на веб-сайты и крадя платежные реквизиты клиентов — от кодов CVV до имен и адресов. Но не думайте, что эти хакеры нацелены только на крупных игроков электронной коммерции. Только в этом месяце группа нацелилась на веб-сайт подписки Forbes, внедрив на сайт код JavaScript Magecart на своей странице оформления заказа.

Для многих организаций увеличение количества атак на веб-сайты является причиной для беспокойства, а угрозы только усложняются — хакеры становятся намного умнее. Наше новое исследование показало, что почти 90% руководителей либо обеспокоены, либо очень обеспокоены ростом громких нарушений. Комментаторы утверждают, что эти банды киберпреступников разрабатывают решения искусственного интеллекта для масштабного проникновения в систему защиты предприятий. Они правы в том, что обеспокоены, поскольку это, безусловно, то, чего мы можем ожидать в будущем.

Многие хакеры нацелены на компании, в которых отсутствуют фундаментальные меры безопасности. Например, защита может означать наблюдение за несанкционированными сторонними технологиями, которые активны на веб-сайте компании. Организациям приходится усердно учиться тому, что им нужно иметь целостное представление о цепочке поставок своего веб-сайта, поскольку только тогда они смогут понять, где лежат потенциальные уязвимости. В конечном счете, защита данных предприятий настолько сильна, насколько сильна самая слабая сторона в их цепочке поставок.

Чтобы быть в безопасности, предприятия должны разрушить стены, которые они построили

Веб-сайты и приложения, находящиеся под присмотром маркетинговых групп, могут стать слепым пятном для ИТ-специалистов и специалистов по безопасности, поскольку их основное внимание традиционно сосредоточено на серверах и инфраструктуре. Однако именно на этих маркетинговых платформах потребители доверяют свои данные.

Многим компаниям не хватает безопасности из-за этой путаницы в отношении собственности и отсутствия видимости цепочки поставок веб-сайта. Об этом Ticketmaster узнал во время взлома в прошлом году, когда хакеры нацелились на сторонних поставщиков и внедрили вредоносный код JavaScript на страницу оплаты. Такова общность этой угрозы. Недавно мы обнаружили, что 79,5% руководителей признают, что интеграция сторонних технологий в веб-сайт увеличивает риск утечки данных.

Организации начинают понимать серьезные последствия отсутствия такой всеобъемлющей точки зрения, но предстоит еще много работы. Повышение квалификации и создание гибридных команд являются ключом к обеспечению того, чтобы это целостное представление о безопасности стало возможным.

Без веб-защиты предприятия ведут безнадежную битву

Прошел год, и мы все еще бьем в тот же барабан, но очень важно, чтобы организации прислушивались и принимали меры, когда речь идет о безопасности веб-сайтов. Единственный способ, с помощью которого компании могут снизить риск взлома, — это провести тщательную комплексную проверку и принять правильные меры предосторожности — от выбора хорошей команды до инвестиций в технологические решения.

Масштаб угроз по всему ландшафту является четким и очевидным признаком того, чем рискуют компании, не делая этого. Институт AV-TEST сообщил, что только в прошлом году было создано 856 миллионов вариантов вредоносных программ, и в ближайшие месяцы их число возрастет.

В конечном счете, киберпреступникам не потребуется много времени, чтобы выявить недостатки цифровой платформы, особенно той, где предприятия не требуют внедрения и постоянного обновления строгих систем безопасности.

GDPR выявил проблемы, о которых многие компании даже не подозревали, а другие законы ЕС, такие как вторая директива о платежных услугах (PSD2), скорее всего, раскроют еще больше разоблачений. В долгосрочной перспективе это хорошо как для владельцев данных, так и для их клиентов.

Именно компании являются привратниками данных клиентов, и эта ответственность должна быть более широко принята для предотвращения взломов и объединения команд для снижения рисков. Те, кто этого не сделает, станут следующими жертвами утечки данных и столкнутся с более серьезными последствиями, чем просто огромный штраф.