GDPR Siber Güvenlik Oyun Alanını Nasıl Değiştirdi?

Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdiğinden beri veri ihlalleri hala yaygın bir durum. İşletmeler, müşterilerinin verilerini korumak için çalışmalarını sürdürüyor. Son 12 aydan neler öğrendik ve sektör ileriye doğru nasıl gelişebilir?

2018'in veri gizliliği için bir dönüm noktası olması gerekiyordu. GDPR, tüketicilerin verilerini daha iyi korumak ve markaları veri gizliliği ve korumasından daha sorumlu olmaya teşvik etmek için Avrupa Birliği tarafından bir yıldan biraz daha uzun bir süre önce tanıtıldı.

İşletmeler uyumlu hale gelmek için acele ederken, GDPR'nin sunduğu görevin ölçeğini hafife alan veri sahipleri için sancılı bir süreç olacağı kısa sürede anlaşıldı.

Bir yıl sonra, çoğu işletme uyumlu olduklarından emin görünüyor - ya da en azından öyle olduklarını söylüyor. Bununla birlikte, son on iki ay içinde, dünyanın en tanınmış şirketlerinden bazıları, veri toplama, depolama ve koruma konusunda daha fazla incelemeye rağmen, zayıf veri uygulamaları ve önemli ihlaller nedeniyle ateş altında kaldı.

Örneğin, Amerikan soru-cevap web sitesi Quora'yı ele alalım. CEO Adam D'Angelo, kullanıcı verilerinin, Kasım 2018'de sistemlerinden birine yetkisiz erişim elde eden üçüncü bir tarafça ele geçirildiğini açıkladı. Bilgisayar korsanları, sosyal ağlardan içe aktarılan 100 milyon kullanıcının adını, e-postalarını, şifreli parolalarını ve diğer verilerini çaldı. . Büyük bir itibar kriziydi ve müşteri güveni üzerinde derin bir etkisi oldu.

Ancak Quora, geçen yıl bir aykırı değildi. Bu, Facebook, Ticketmaster ve Vision Direct dahil olmak üzere birçok işletmenin büyük ölçekli saldırılarla karşılaştığı buzdağının sadece görünen kısmıydı ve tüm markalara yönelik tüketici güvenini daha da zedeledi.

Hiçbir işletme bir veri ihlali yaşamak veya tüketicilerin Kişisel Olarak Tanımlanabilir Bilgilerini (PII) tehlikeye atmak istemez, ancak şu anda bile birçok kuruluş bir veri ihlalini veya GDPR ihlalini önlemek için yeterli çabayı göstermiyor. Peki geçen yıl neler öğrendik ve sektör ileriye doğru nasıl gelişebilir?

Hackerlar, zayıf bağlantıları belirleme çabalarını ikiye katladı

Yeni düzenleme, veri uygulamalarına ışık tutarken ve işletmeleri yeni süreçler kullanmaya zorlarken, bilgisayar korsanlarını caydırmadı. Yalnızca son altı ayda daha da fazla siber suç gördük.

Magecart, web sitelerine kredi kartı tarama kötü amaçlı yazılımları enjekte ederek ve CVV kodlarından adlara ve adreslere kadar müşterilerin ödeme ayrıntılarını çalarak manşetten manşet oluşturan daha iyi bilinen gruplardan biridir. Ancak bu bilgisayar korsanlarının sadece büyük e-ticaret oyuncularını hedef aldığını düşünerek aldanmayın. Daha bu ay, grup, Forbes'un abonelik web sitesini hedef alarak, siteye ödeme sayfalarına bir Magecart JavaScript'i enjekte etti.

Birçok kuruluş için, web sitesi saldırılarındaki artış endişe kaynağı ve tehditler yalnızca karmaşıklık içinde büyüyor - bilgisayar korsanları çok daha akıllı hale geliyor. Yeni araştırmamız, yöneticilerin yaklaşık yüzde 90'ının yüksek profilli ihlallerin artması konusunda ya endişeli ya da çok endişeli olduğunu buldu. Yorumcular, bu siber suçlu çetelerinin, işletmelerin savunma sistemlerine geniş ölçekte sızmak için Yapay Zeka çözümleri geliştirdiğini savunuyor. Gelecekte daha fazlasını görmeyi bekleyebileceğimiz bir şey olduğu için endişelenmekte haklılar.

Çoğu bilgisayar korsanı, temel güvenlik önlemlerine sahip olmayan şirketleri hedef alır. Örneğin koruma, bir işletmenin web sitesinde etkin olan yetkisiz üçüncü taraf teknolojilerinin denetlenmesi anlamına gelebilir. Kuruluşlar, potansiyel güvenlik açıklarının nerede yattığını ancak o zaman anlayabildikleri için web sitesi tedarik zincirlerine bütünsel bir bakış açısına sahip olmak için ihtiyaç duydukları zor yoldan öğrenmek zorunda kalıyorlar. İşletmelerin veri savunmaları, nihayetinde yalnızca tedarik zincirlerindeki en zayıf halka kadar güçlüdür.

Güvende olmak için işletmeler inşa ettikleri duvarları yıkmalıdır

Pazarlama ekiplerinin gözetimi altındaki web siteleri ve uygulamalar, temel odak noktaları geleneksel olarak sunucular ve altyapı olduğu için BT ve güvenlik ekipleri için kör bir nokta oluşturabilir. Ancak, tüketicilerin verilerini emanet ettiği yerler bu pazarlama platformlarındadır.

Birçok şirket, web sitesi tedarik zincirinin mülkiyeti ve görünürlüğü konusundaki bu karışıklık nedeniyle güvenlik konusunda yetersiz kalmıştır. Bu, Ticketmaster'ın geçen yıl, bilgisayar korsanlarının üçüncü taraf satıcıları hedef aldığı ve ödeme sayfasına kötü amaçlı JavaScript kodu enjekte ettiği bir ihlal sırasında öğrendiği bir şey. Bu tehdidin ortak özelliği budur, yakın zamanda yöneticilerin yüzde 79,5'inin üçüncü taraf teknolojilerini bir web sitesine entegre etmenin veri sızıntısı riskini artırdığını kabul ettiğini bulduk.

Kuruluşlar, bu kapsayıcı görüşe sahip olmamanın ciddi sonuçlarını anlamaya başlıyor, ancak yapılacak daha çok iş var. Beceri geliştirmek ve hibrit ekipler oluşturmak, bu bütünsel güvenlik görüşünün mümkün olmasını sağlamanın anahtarıdır.

Web savunmaları olmadan işletmeler kaybedecekleri bir savaş veriyor

Bir yıl geçti ve hala aynı davulu çalıyoruz, ancak web sitesi güvenliği söz konusu olduğunda kuruluşların dinlemesi ve harekete geçmesi çok önemli. İşletmelerin ihlal riskini azaltabilmelerinin tek yolu, kapsamlı durum tespiti yapmak ve iyi bir ekip seçmekten teknoloji çözümlerine yatırım yapmaya kadar doğru önlemleri almaktır.

Ortamdaki tehditlerin ölçeği, şirketlerin bunu yapmamakla neyi riske attığının açık ve bariz bir işaretidir. AV-TEST Enstitüsü, yalnızca geçen yıl 856 milyon kötü amaçlı yazılım varyantının oluşturulduğunu ve bunun önümüzdeki aylarda artacağını bildirdi.

Sonuç olarak, siber suçluların, özellikle işletmelerin sıkı güvenlik sistemlerinin uygulanmasını ve sürekli olarak güncellenmesini talep etmediği bir dijital platformun eksikliklerini belirlemesi uzun sürmeyecektir.

GDPR, birçok şirketin farkında bile olmadığı sorunları ortaya çıkardı - ve ikinci ödeme hizmetleri yönergesi (PSD2) gibi diğer AB yasaları muhtemelen daha fazla ifşayı ortaya çıkaracaktır. Bu, uzun vadede veri sahipleri ve müşterileri için iyi bir şeydir.

Müşteri verilerinin bekçileri şirketlerdir ve hack'leri önlemek ve ekipleri riski azaltmak için hizalamak için bu sorumluluğun daha geniş çapta kabul edilmesi gerekir. Bunu yapmayanlar bir sonraki veri ihlali kurbanı olacaklar ve ağır bir para cezasından daha fazla sonuçla karşı karşıya kalacaklar.