GDPR เปลี่ยนแปลงสนามแข่งขันความปลอดภัยทางไซเบอร์อย่างไร

การละเมิดข้อมูลยังคงเกิดขึ้นทั่วไป แม้ว่าจะบังคับใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ก็ตาม ธุรกิจต่างๆ ยังคงต้องทำงานเพื่อปกป้องข้อมูลของลูกค้า เราได้เรียนรู้อะไรจาก 12 เดือนที่ผ่านมาและอุตสาหกรรมจะพัฒนาต่อไปได้อย่างไร?

ปี 2018 ควรจะเป็นจุดเปลี่ยนสำหรับความเป็นส่วนตัวของข้อมูล เพียงหนึ่งปีที่ผ่านมา GDPR ได้รับการแนะนำโดยสหภาพยุโรปเพื่อปกป้องข้อมูลของผู้บริโภคได้ดีขึ้นและกระตุ้นให้แบรนด์มีความรับผิดชอบต่อความเป็นส่วนตัวและการปกป้องข้อมูลมากขึ้น

ในขณะที่ธุรกิจต่างๆ เร่งรีบเพื่อให้เป็นไปตามข้อกำหนด เห็นได้ชัดว่ามันจะเป็นกระบวนการที่เจ็บปวดสำหรับเจ้าของข้อมูลที่ประเมินขนาดของงานที่ GDPR นำเสนอต่ำเกินไป

หนึ่งปีผ่านไป ธุรกิจส่วนใหญ่ดูมั่นใจว่าปฏิบัติตาม - หรืออย่างน้อยก็บอกว่าเป็นไปตามนั้น อย่างไรก็ตาม ในช่วงสิบสองเดือนที่ผ่านมา บริษัทที่มีชื่อเสียงระดับโลกบางแห่งถูกโจมตีเนื่องจากการปฏิบัติด้านข้อมูลที่ไม่ดีและการละเมิดที่สำคัญ โดยไม่คำนึงถึงการตรวจสอบการรวบรวม การจัดเก็บ และการปกป้องข้อมูลอย่างละเอียดยิ่งขึ้น

ใช้เว็บไซต์คำถามและคำตอบของอเมริกา Quora เป็นต้น Adam D'Angelo ซีอีโอเปิดเผยว่าข้อมูลผู้ใช้ถูกบุกรุกโดยบุคคลที่สามซึ่งเข้าถึงระบบใดระบบหนึ่งโดยไม่ได้รับอนุญาตในเดือนพฤศจิกายน 2018 แฮกเกอร์ขโมยชื่อผู้ใช้ 100 ล้านคน อีเมล รหัสผ่านที่เข้ารหัส และข้อมูลอื่น ๆ จากโซเชียลเน็ตเวิร์กที่นำเข้า . เป็นวิกฤตด้านชื่อเสียงครั้งใหญ่และมีผลกระทบอย่างลึกซึ้งต่อความไว้วางใจของลูกค้า

อย่างไรก็ตาม Quora ไม่ใช่สิ่งผิดปกติในปีที่แล้ว นี่เป็นเพียงส่วนเล็กสุดของภูเขาน้ำแข็งที่ธุรกิจจำนวนมากประสบกับการโจมตีในวงกว้าง ซึ่งรวมถึง Facebook, Ticketmaster และ Vision Direct ซึ่งสร้างความเสียหายต่อความไว้วางใจของผู้บริโภคในแบรนด์ต่างๆ ทั่วกระดาน

ไม่มีธุรกิจใดที่ต้องการประสบกับการละเมิดข้อมูลหรือทำให้ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ของผู้บริโภคตกอยู่ในอันตราย แต่ถึงตอนนี้ หลายองค์กรก็ยังไม่สามารถป้องกันการละเมิดข้อมูลหรือการละเมิด GDPR ได้ เราได้เรียนรู้อะไรไปบ้างในปีที่แล้ว และอุตสาหกรรมจะพัฒนาต่อไปได้อย่างไร?

แฮกเกอร์ได้เพิ่มความพยายามเป็นสองเท่าในการระบุจุดอ่อน

ในขณะที่กฎระเบียบใหม่ให้ความกระจ่างเกี่ยวกับแนวทางปฏิบัติด้านข้อมูลและบังคับให้ธุรกิจใช้กระบวนการใหม่ แต่ก็ไม่ได้ขัดขวางแฮ็กเกอร์ เพียง 6 เดือนที่ผ่านมา เราได้เห็นอาชญากรรมในโลกไซเบอร์มากขึ้น

Magecart เป็นหนึ่งในกลุ่มที่รู้จักกันดี โดยสร้างหัวข้อตามหัวข้อโดยการฉีดมัลแวร์ผ่านบัตรเครดิตเข้าไปในเว็บไซต์และขโมยรายละเอียดการชำระเงินของลูกค้า ตั้งแต่รหัส CVV ไปจนถึงชื่อและที่อยู่ แต่อย่าหลงกลโดยคิดว่าแฮ็กเกอร์เหล่านี้มุ่งเป้าไปที่ผู้เล่นอีคอมเมิร์ซรายใหญ่ เดือนนี้ กลุ่มกำหนดเป้าหมายเว็บไซต์สมัครสมาชิกของ Forbes โดยแทรกไซต์ด้วย Magecart JavaScript ในหน้าชำระเงิน

สำหรับหลายๆ องค์กร การโจมตีเว็บไซต์ที่เพิ่มขึ้นทำให้เกิดความกังวล และภัยคุกคามก็เพิ่มขึ้นในความซับซ้อนเท่านั้น - แฮกเกอร์เริ่มฉลาดขึ้นมาก งานวิจัยใหม่ของเราพบว่าผู้บริหารเกือบ 90% มีความกังวลหรือกังวลอย่างมากเกี่ยวกับการละเมิดที่มีรายละเอียดสูงที่เพิ่มขึ้น นักวิจารณ์ให้เหตุผลว่ากลุ่มอาชญากรไซเบอร์เหล่านี้กำลังพัฒนาโซลูชันปัญญาประดิษฐ์เพื่อแทรกซึมการป้องกันของธุรกิจในวงกว้าง พวกเขามีสิทธิ์ที่จะกังวลเพราะเป็นสิ่งที่เราคาดหวังได้ในอนาคต

แฮกเกอร์จำนวนมากมุ่งเป้าไปที่บริษัทที่ไม่มีมาตรการรักษาความปลอดภัยขั้นพื้นฐาน ตัวอย่างเช่น การป้องกันอาจหมายถึงการดูแลเทคโนโลยีของบุคคลที่สามที่ไม่ได้รับอนุญาตซึ่งมีการใช้งานบนเว็บไซต์ของธุรกิจ องค์กรต่างๆ ต้องเรียนรู้วิธีที่ยากที่พวกเขาต้องมีมุมมองแบบองค์รวมเกี่ยวกับซัพพลายเชนของเว็บไซต์ เพราะเมื่อนั้นพวกเขาจะสามารถเข้าใจว่าช่องโหว่ที่อาจเกิดขึ้นอยู่ที่ใด ในที่สุด การป้องกันข้อมูลของธุรกิจก็แข็งแกร่งพอๆ กับจุดอ่อนที่สุดในห่วงโซ่อุปทานของตน

เพื่อความปลอดภัย ธุรกิจต่างๆ จะต้องทลายกำแพงที่พวกเขาสร้างขึ้น

เว็บไซต์และแอพที่อยู่ภายใต้การดูแลของทีมการตลาดสามารถนำเสนอจุดบอดสำหรับทีมไอทีและความปลอดภัย เนื่องจากจุดโฟกัสหลักของพวกเขาอยู่ที่เซิร์ฟเวอร์และโครงสร้างพื้นฐาน อย่างไรก็ตาม ผู้บริโภคไว้วางใจข้อมูลของตนบนแพลตฟอร์มการตลาดเหล่านี้

หลายบริษัทขาดการรักษาความปลอดภัยเนื่องจากความสับสนเกี่ยวกับการเป็นเจ้าของและการขาดการมองเห็นซัพพลายเชนของเว็บไซต์ นี่คือสิ่งที่ Ticketmaster ค้นพบระหว่างการละเมิดเมื่อปีที่แล้ว โดยที่แฮ็กเกอร์กำหนดเป้าหมายไปยังผู้ขายบุคคลที่สามและแทรกโค้ด JavaScript ที่เป็นอันตรายบนหน้าการชำระเงิน นี่เป็นเรื่องปกติของภัยคุกคามนี้ เมื่อเร็วๆ นี้เราพบว่าผู้บริหารร้อยละ 79.5 ตระหนักดีว่าการผสานรวมเทคโนโลยีของบุคคลที่สามเข้ากับเว็บไซต์จะเพิ่มความเสี่ยงต่อการรั่วไหลของข้อมูล

องค์กรต่างๆ เริ่มเข้าใจความหมายที่ร้ายแรงของการไม่มีมุมมองที่ครอบคลุม แต่ก็ยังมีงานอีกมากที่ต้องทำ การเพิ่มทักษะและการสร้างทีมไฮบริดเป็นกุญแจสำคัญในการทำให้มั่นใจว่ามุมมองด้านความปลอดภัยแบบองค์รวมนี้เป็นไปได้

หากไม่มีการป้องกันเว็บ ธุรกิจต่างๆ กำลังต่อสู้กับการพ่ายแพ้

หนึ่งปีผ่านไป และเรายังคงประสบปัญหาเดิมๆ แต่สิ่งสำคัญคือองค์กรต้องรับฟังและดำเนินการในเรื่องความปลอดภัยของเว็บไซต์ วิธีเดียวที่ธุรกิจสามารถลดความเสี่ยงของการละเมิดคือการทำ Due Diligence อย่างละเอียดและใช้มาตรการป้องกันที่เหมาะสม ตั้งแต่การเลือกทีมที่ดีไปจนถึงการลงทุนในโซลูชันด้านเทคโนโลยี

ขนาดของภัยคุกคามทั่วทั้งภูมิทัศน์เป็นสัญญาณที่ชัดเจนและชัดเจนถึงสิ่งที่บริษัทต่างๆ กำลังเสี่ยงจากการไม่ทำเช่นนั้น AV-TEST Institute รายงานว่ามีการสร้างมัลแวร์ 856 ล้านตัวในปีที่แล้วเพียงปีเดียว และจะเพิ่มขึ้นในอีกไม่กี่เดือนข้างหน้า

ในท้ายที่สุด อาชญากรไซเบอร์จะใช้เวลาไม่นานในการระบุข้อบกพร่องของแพลตฟอร์มดิจิทัล โดยเฉพาะอย่างยิ่งปัญหาที่ธุรกิจไม่ต้องการใช้ระบบรักษาความปลอดภัยที่เข้มงวดและอัปเดตอย่างสม่ำเสมอ

GDPR ได้เปิดเผยปัญหาที่บริษัทจำนวนมากไม่ทราบด้วยซ้ำ และกฎหมายอื่นๆ ของสหภาพยุโรป เช่น คำสั่งบริการการชำระเงินที่สอง (PSD2) มีแนวโน้มที่จะเปิดเผยการเปิดเผยเพิ่มเติม สิ่งนี้เป็นผลดีต่อเจ้าของข้อมูลและลูกค้าในระยะยาว

เป็นบริษัทที่ทำหน้าที่เฝ้าประตูข้อมูลลูกค้า และความรับผิดชอบนี้จำเป็นต้องได้รับการยอมรับในวงกว้างมากขึ้น เพื่อป้องกันการเจาะข้อมูลและจัดทีมเพื่อลดความเสี่ยง ผู้ที่ไม่ปฏิบัติตามจะกลายเป็นเหยื่อการละเมิดข้อมูลรายต่อไปและต้องเผชิญกับผลที่ตามมามากกว่าการปรับหนัก