Нарушения данных и нарушения конфиденциальности становятся все более распространенными и невероятно дорогими. Исследование, проведенное компанией Risk Based Security, показало, что количество утечек данных выросло более чем на 54% по сравнению с аналогичным периодом прошлого года. Между тем, ежегодный отчет IBM «Стоимость нарушения данных» показал, что средняя общая стоимость нарушения приближается к 4 миллионам долларов.
Поэтому, ясно, что безопасность данных и конфиденциальность будут основной проблемой в 2020 году.
И вот 20 рисков безопасности, с которыми ваша компания может столкнуться.
1. Случайное раскрытие данных
Иногда нарушения данных и конфиденциальность являются работой хакеров, которые используют определенные уязвимости для кражи информации. Тем не менее, слишком часто нарушения данных происходят из-за несчастного случая.
Например, исследование, проведенное Shred-it, показало, что 40% руководителей и владельцев малого бизнеса сообщают, что халатность и случайные потери были основной причиной их последнего инцидента в сфере безопасности.
2. Утомленные ИТ-администраторы
Сегодняшний ландшафт угроз может быть изнурительным. Просто спросите ИТ-администраторов, ответственных за защиту наиболее важных данных компании.
Хакеры должны эффективно сработать только один раз, чтобы нанести серьезный ущерб доходам бизнеса, в то время как ИТ-администраторам поручено идеально отражать постоянный поток атак. Вероятно, поэтому почти 2/3 специалистов по кибербезопасности решили уволиться с работы или полностью уйти из отрасли.
Этот оборот — и неизбежное отставание в производительности, которое сопровождает переутомленных сотрудников — делает компании уязвимыми.
3. Кража данных сотрудниками
В большинстве случаев сотрудники являются главным активом компании.
Конечно, иногда сотрудники, случайно или преднамеренно, могут быть самой большой ответственностью компании. Кража данных компании нынешними и бывшими сотрудниками невероятно распространена, и канадский кредитный союз Desjardins это продемонстрировал.
В июне 2019 года бывший сотрудник украл личные данные почти у 3 миллионов клиентов, что ознаменовало одну из самых больших катастроф в истории страны.
4. Незащищенная передачи конфиденциальной информации
Цифровая связь — это повсеместная часть нашей повседневной жизни, и она также может стать косвенной уязвимостью для компаний, стремящихся защитить конфиденциальность клиентов.
Использование личных устройств или личных учетных записей для передачи конфиденциальной информации клиентов является пугающе распространенным явлением.
Например, в сфере здравоохранения почти 30% членов команды здравоохранения признают, что используют личные устройства для передачи личных данных пациентов.
5. Фишинг
Анализ, проведенный Microsoft, показал, что количество фишинг-атак в этом году выросло на 250%. Более того, методы становятся все более хитрыми, что делает их более сложными для определения и более успешными в их реализации.
Эти электронные письма могут заполнять корпоративные почтовые ящики. Между тем, один щелчок сотрудника может поставить под угрозу данные компании.
6. Кража данных для выкупа
У хакеров есть много способов заработать на украденных данных. В то время как Dark Web предлагает обширную сеть возможностей для продаж, все больше киберпреступников возвращаются к источнику своего дохода.
Вместо того, чтобы продавать украденные данные в Интернете, воры используют компании для выплаты выкупа, создавая беспроигрышный сценарий для предприятий, пострадавших от такого подхода.
Атаки на вымогателей получили новую жизнь, увеличившись на 500% по сравнению с аналогичным периодом прошлого года, одновременно создавая серьезную угрозу безопасности данных для предприятий, государственных учреждений и других организаций.
7. Подкуп сотрудника
В последние несколько лет несколько крупных компаний претерпели утечку данных из-за сотрудников, которые были подкуплены .
В 2018 году Amazon проверила нескольких сотрудников. Совсем недавно стало известно, что сотрудники AT&T получали взятки за внедрение вредоносного программного обеспечения в сети компании, что позволило понять внутреннюю работу AT&T.
Безусловно, подкуп сотрудников — не самый очевидный способ увековечить киберпреступность, но это уязвимость, которую компании должны быть готовы устранить.
8. Взлом инфраструктуры
В 2019 году местные муниципалитеты по всему США разрушили свою ИТ-инфраструктуру из-за вымогателей. Однако эта угроза распространяется не только на государственные учреждения.
К сожалению, стоимость восстановления данных более чем удвоилась в 2019 году, и все признаки указывают на то, что эта тенденция сохранится и в следующем году.
9. Каждый человек имеет доступ ко всем данным все время
Доступ к данным компании или клиента должен быть обязательным для ознакомления механизмом, который сводит к минимуму возможность злоупотребления. Однако слишком много компаний предоставляют всем сотрудникам полный доступ ко всем данным компании все время.
При этом они излишне увеличивают вероятность того, что в будущем возникнет проблема безопасности или конфиденциальности.
10. Привилегированные пользователи имеют слишком много доступа
Конфиденциальность данных распространяется на всех, включая сотрудников, и каждая компания должна гарантировать, что кто-то контролирует мониторы.
11. Сотрудникам нужно больше денег
Сотрудники воруют данные компании по многим причинам, но одна из самых очевидных и ощутимых мотиваций — деньги. Исследование, проведенное Deep Secure, показало, что 45% сотрудников рассматривают возможность продажи данных компании посторонним, и, что невероятно, эта информация очень доступна.
Исследование показало, что 15% сотрудников Великобритании будут продавать информацию за 1260 долларов, а 10% будут продавать данные всего за 315 долларов.
12. Руководители неправильно определяют приоритеты кибербезопасности
Малые и средние предприятия наиболее уязвимы для кибератаки, и их руководители с наименьшей вероятностью будут отдавать приоритет инициативам в области кибербезопасности. Исследование, проведенное Keep Security, показало, что 66% малых и средних предприятий не верят, что они столкнутся с нарушением данных, что противоречит доказательствам, представленным Институтом Понемона, который показал, что 67% малых и средних предприятий перенесли серьезную атаку в прошлом году.
13. Взлом, чтобы повеселится
Согласно отчету Verizon Data Breach Investigation Report, неожиданное количество взломов данных, почти 24%, вызвано скукой сотрудника. В докладе говорится, что «чистое веселье» было одной из главных причин инцидента с кибербезопасностью или нарушением конфиденциальности.
Это подчеркивает отношение к безопасности данных, которое до сих пор пронизывает многие организации.
14. Фишинговые кампании Spear
Эта особая марка фишинговых атак использует ранее украденные данные для создания подлинно выглядящих электронных писем, которые трудно остановить и защитить.
Недавно город Неаполь усвоил этот урок в эпизоде, который обошелся городу в 700 000 долларов, когда сотрудника обманным путем заставили оплатить мошеннический счет, полученный в рамках целевой кампании по фишинг-копированию.
Поскольку все больше и больше данных становятся доступными в Интернете, эти атаки могут только усилиться в будущем.
15. Старый добрый взлом почты
Часто нарушения данных или конфиденциальность являются лишь первым нарушением в растущем списке киберпреступлений. Например, в отчете Risk Based Security было установлено, что адреса электронной почты и пароли являются наиболее востребованными данными в Интернете, что происходит в 70% всех случаев утечки данных. Эта информация может быть использована в других, более тонких кибератаках.
16. Злые основатели
Мало кто имеет беспрецедентный доступ к данным компании, как основатели организации. Это не проблема, пока они не решат покинуть компанию или будут вытеснены институциональной или рыночной динамикой.
Привилегированные пользователи часто представляют уязвимость, потому что им неявно доверяют, в то время как надзор часто минимален или отсутствует, создавая ненужную возможность для потери данных и нарушений конфиденциальности.
17. Развитие карьеры путем кражи данных
Удивительное количество сотрудников хочет украсть данные компании, чтобы получить преимущество на рынке труда. Например, двум бывшим сотрудникам Apple, работавшим над проектом секретной машины компании, было предъявлено обвинение в краже данных после того, как они украли более 2000 файлов, связанных с проектом.
Тем временем преступники находились в процессе подачи заявления в китайскую автономную автомобильную компаниию Независимо от того, занимаются ли сотрудники разграблением интеллектуальной собственности, данных о клиентах или другой ценной информации, это может обеспечить конкурентное преимущество на рынке труда, что представляет риск для безопасности данных для компаний.
18. Простые пароли
Исследование Google показало, что 1,5% всех учетных данных входа, используемых в Интернете уязвимы для атак.
Интересно, что сотрудники неохотно меняли или улучшали эти пароли, когда получали уведомление об их уязвимости. Отсутствие учета контролируемых элементов, таких как следование рекомендациям по паролям, подвергает вашу организацию большому риску.
19. Хакеры ищут повода похвастаться
В июле компания кредитных карт Capital One попала в заголовки газет, когда они пережили нарушение данных, которое скомпрометировало 100 миллионов записей.
Нарушение было организовано хакером, который, по большинству аккаунтов, искал возможность хвастаться в различных онлайн-сообществах.
Для некоторых кража данных связана не с данными или конфиденциальностью, а с их собственной известностью, и это является проблемой для компаний, стремящихся защитить цифровую конфиденциальность своих клиентов.
20. Бездействие
Сегодняшний опасный цифровой ландшафт может парализовать. Обескураженный представлением о том, что инцидент безопасности или нарушение конфиденциальности является неизбежным, слишком многие компании будут отказываться, рискуя, а не укрепляя свою защиту.
Во многих отношениях это может быть самой значительной уязвимостью из всех. Вместо того, чтобы контролировать управляемые, учитывать риски и реализовывать стратегию безопасности, направленную на целостную защиту данных, они просто ничего не делают.
Как и в предыдущие годы, 2020 год будет полон рисков, и это дает каждой организации возможность дифференцировать себя в том, как они справляются с этой неопределенностью и как они планируют защищать свои данные компании и клиентов в будущем.
