Кража личных данных — почему компании становятся мишенью
Кража личных данных, которая традиционно вызывала беспокойство у отдельных лиц, теперь стала проблемой для бизнеса. Это может подорвать лояльность сотрудников и заставить клиентов думать, что с вами слишком рискованно связываться.
Нарушения, штрафы и убытки
Нарушение персональных данных (PII) или ненадлежащее использование PII может привести к крупным штрафам. В Европе первая волна значительных штрафов в соответствии с Законом об общей защите данных обрушилась на незадачливые предприятия. H&M (интернет-магазин Hennes & Mauritz) был оштрафован на сумму, эквивалентную 41 миллиону долларов США.
И GDPR распространяется не только на европейский бизнес. Если вы нанимаете европейцев, торгуете или работаете в Европе — и если у вас есть веб-сайт, доступный из Европы, и на нем есть адрес электронной почты, который люди могут использовать для связи с вами, это считается торговлей — GDPR также применяется к вам. Вот так компания Google была оштрафована на 58,5 млн долларов США.
Конечно, GDPR — это всего лишь одно из правил. В США законодательство о защите данных разбросано по всему Кодексу Соединенных Штатов в таких актах, как Закон о защите конфиденциальности водителей от 1994 года (DPPA), Закон о защите конфиденциальности детей в Интернете (COPPA) и новый Калифорнийский закон о защите прав потребителей (CCPA).
Как будто штрафы были недостаточно серьезными, репутационный ущерб, который сопровождает нарушение или другое несоответствие, связанное с данными, может оказать огромное влияние на бизнес и его отношения с клиентами и клиентами. Деловые отношения требуют внимания. Требуется время и усилия, чтобы вырастить и сохранить их. Но их можно сломать и потерять в одночасье из-за плохого пиара. Иногда бывает такая вещь, как плохая реклама.
Все предприятия владеют персональными данными сотрудников, поставщиков и клиентов. Они должны осознавать, что несут ответственность за сбор, защиту и законное использование этих данных. Согласно отчету IBM о стоимости утечки данных за 2020 год, финансовые последствия для бизнеса в связи с потерей записи PII составляют 150 долларов США.
Если украденная PII позволяет злоумышленнику выдать себя за члена вашего персонала, чтобы он мог убедительно общаться с клиентом, поставщиком, банком или кем-то в вашей бухгалтерии, у которого есть полномочия на перевод денег, стоимость будет намного выше. .
PII и кража личных данных
Кража личных данных — это общий термин, охватывающий множество видов мошенничества с использованием кредитных карт, сделок с рассрочкой платежа, аренды, онлайн-покупок и онлайн-банкинга. Кража личных данных часто связана с украденными или иным образом просочившимися PII.
С того момента, как компьютеры стали обычным явлением в основном деловом мире, компании начали собирать, хранить и обрабатывать PII. Любая отдельная часть данных о человеке является PII. Вам не нужно хранить всю цифровую мозаику данных, которая окончательно идентифицирует кого-то, чтобы ваши данные считались PII. Если у вас есть хотя бы одна часть головоломки, этот фрагмент данных классифицируется как PII и должен быть защищен так же строго, как и полный дамп данных этого человека.
С точки зрения злоумышленника, получение полной записи данных о ком-то равносильно тому, чтобы получить деньги. Но маленькие кусочки информации по-прежнему полезны для них, точно так же, как множество мелких самородков — если вы найдете их достаточно — могут составить достойную добычу. Чем больше PII у вас есть и чем больше данных о людях вы храните, тем более привлекательной целью вы являетесь.
Но это не означает, что мелкие фирмы будут игнорироваться преступниками. И на самом деле, они могут быть предпочтительной мишенью, потому что вряд ли у них будет такой же строгий набор средств защиты и контроля кибербезопасности, как у организации масштаба предприятия, а также у них нет специальной группы сотрудников для их внедрения и контроля.
Прошли те времена, когда вы рылись в мусорных баках людей или в мусорных баках компании в поисках бумажной информации, чтобы создать жизнеспособную личность для кражи личных данных. Этот вид мошенничества стал высокотехнологичным и высокоценным. Неизбежно, это привлекло внимание организованной преступности. Похитители данных работают либо на организованные преступные группы, которые будут использовать украденные PII для совершения мошенничества, либо на более мелкие киберпреступные операции, которые будут продавать данные в даркнете.
Некоторая украденная персональная информация предоставляет злоумышленникам небольшую возможность. Вскоре после того, как информация используется злоумышленниками, ее замечает жертва. Жертва уведомляет поставщика услуг, например, банк, компанию, выпускающую кредитные карты, интернет-магазины или Службу социального обеспечения, и учетная запись блокируется или необходимо предпринять какие-либо другие действия. Но иногда мошеннические действия не обнаруживаются довольно долго.
Почему происходят нарушения
Ошибки инсайдеров
Случаются несчастные случаи, такие как оставленный ноутбук в поезде или отправка электронной таблицы не тому человеку. Некоторые несчастные случаи происходят из-за несоблюдения политик и процедур (часто в периоды давления или стресса), а обязательные методы игнорируются или срезаются углы.
Злоумышленники используют фишинговые и целевые фишинговые атаки для принуждения сотрудников к непреднамеренной установке вредоносных программ, таких как руткиты и трояны удаленного доступа (RAT). Здесь тоже играет роль давление на работе. Преследуемый и испытывающий трудности персонал с меньшей вероятностью остановится и пробежится по мысленному контрольному списку, чтобы определить, является ли электронное письмо или его вложение реальным или злонамеренным.
Злонамеренные инсайдеры
Недовольные сотрудники могут организовать утечку данных PII, чтобы осуществить то, что они считают мстительным правосудием против компании. Другие могут украсть PII, чтобы попытаться получить финансовую выгоду. Это могут быть заводы, которым удалось устроиться на работу в вашу компанию, но на самом деле они работают на конкурента и занимаются промышленным шпионажем.
Внешние атаки
Большинство утечек данных PII происходит из-за внешних угроз. Поскольку кража личных данных стала прибыльным (преступным) бизнесом, а организованная преступность заинтересовалась этим, атаки скоординированы и изощренны. Они могут организовывать фишинговые атаки, использовать уязвимости или использовать атаки по словарю, чтобы выяснить, какие пароли используются.
Шифрование — ваш друг
Шифрование — ваш друг, но не универсальная панацея от кибербезопасности. Вам по-прежнему необходимо использовать соответствующие технологические средства защиты, надежное управление ИТ с помощью политик и процедур, а также обучение персонала осведомленности о кибербезопасности, чтобы попытаться защитить свои системы.
Данные должны быть зашифрованы на устройствах хранения, таких как жесткие диски, внешние диски и системы резервного копирования. И внешние, и локальные резервные копии должны быть зашифрованы. Все мобильные устройства, включая ноутбуки, смартфоны, планшеты, карты памяти и компакт-диски, должны быть зашифрованы.
Шифрование не остановит кражу данных. Будем надеяться, что другие ваши защитные меры помогут. Но шифрование данных должно помешать киберпреступникам получить от них выгоду. Это все равно, что использовать краску с бумажными деньгами. Если сейф украден, упаковка с красителем взрывается, несмываемо окрашивая деньги и делая их бесполезными. Пакет с красителем не защитит сейф от кражи и взрыва, но преступникам это не выгодно.
Кроме того, нарушение зашифрованных данных является гораздо менее пагубным правонарушением с точки зрения законодательства о защите данных, чем потеря PII в открытом виде.
Сегодня технология шифрования доступна для бизнеса в различных продуктах. Часто это неотъемлемая часть предложения продукта, такого как электронная почта Microsoft 365.
Также доступны продукты, позволяющие шифровать локальные системы. Имейте в виду, что после того, как вы выберете и развернете продукт для шифрования, вы все равно должны периодически просматривать различные продукты для шифрования. Можно показать, что даже у лучшей в своем классе программы шифрования есть недостатки в алгоритмах, из-за которых ее шифрование становится уязвимым для взлома. Так что не делайте выбор продукта и не забывайте о нем. Убедитесь, что ваше решение о продукте остается в силе сегодня.
Шифрование требует собственных затрат на управление и обслуживание. Подпрограммы шифрования используют ключи шифрования. Это строки, казалось бы, случайных символов и символов, которые используются алгоритмом для кодирования и декодирования данных. И, как и все важные ключи, они должны быть защищены, а доступ к ним должен регулироваться и контролироваться. Вам необходимо рассмотреть эти вопросы при планировании развертывания широкомасштабного шифрования в вашей компании.
Развертывание шифрования
Если у вас нет реестра активов данных, проведите аудит данных и создайте его. Как минимум, вам нужно знать, какие данные у вас есть, где они хранятся, кому нужен доступ к ним и насколько они конфиденциальны или важны. Местное законодательство, такое как GDPR, может потребовать от вас большей детализации.
Классифицируйте свои данные
Разделите данные на группы, например:
- Закрытые данные. Нарушение данных этой категории так или иначе нанесет значительный ущерб компании. К этим данным должны применяться самые высокие уровни контроля и защиты.
- Личные данные. Все данные компании, которые не являются ограниченными и не общедоступными, считаются частными. Несанкционированный доступ к личным данным несет умеренный риск для компании. К этим данным должен применяться разумный уровень контроля и защиты.
- Общедоступные данные: практически не требуют контроля и защиты.
Установите срок действия данных
Если у данных есть дата, после которой они вряд ли будут полезны, и вы знаете, что ваше шифрование не может быть взломано в течение этого периода времени, ваши данные можно считать безопасными.
Некоторые данные, такие как кредитные карты, имеют четкую дату истечения срока действия. Если кто-то получает номер кредитной карты и код подтверждения карты (CVV), у него остается только до истечения срока действия карты, чтобы использовать их.
Другие данные, такие как элементы PII, будут иметь период, в течение которого разумно ожидать, что жертва мошенничества, связанного с идентификацией, заметит что-то неладное, например странные записи в банковской выписке.
Проведите комплексную проверку и исследование рынка
Руководствуясь вышеизложенными шагами и вашим реестром активов данных — и, конечно же, бюджетом — просмотрите доступные инструменты шифрования и выберите наиболее подходящий для ваших нужд.
Установить политики и процедуры
Создайте или обновите существующие политики и процедуры, чтобы обеспечить контроль и руководство по использованию инструмента шифрования, а также контроль и защиту ключей шифрования.
Провести обучение персонала
Проведите тренинги для ваших сотрудников, чтобы они поняли причины изменений, что такое новые методы работы и что от них ожидается. Дайте понять, что эти меры предназначены для защиты их и их данных.
Включите этот тип инструктажа в процесс введения новых сотрудников в должность.
Не забывайте основы
Удаленные подключения к вашему бизнесу или к облачным ресурсам должны осуществляться с использованием безопасных и зашифрованных протоколов, а все приложения и операционные системы должны быть оснащены последними обновлениями и исправлениями безопасности.
Помните, что шифрование защищает украденные данные — оно не остановит кражу данных.