Глобален постоянен главен служител по информационна сигурност (CISO) за Proofpoint.
Живеем в дигитален свят, в който данните са новата валута както за бизнеса, така и за киберпрестъпниците. Много доставчици на онлайн услуги събират огромни количества потребителски данни и заплахите могат да използват тези данни, за да проникнат във вашата организация.
Дори атака срещу потребителска услуга може да има опасни последици за вашия бизнес. Трябва да разберете какъв вид данни се събират от цифровите инструменти, които вашите служители използват, и как тези данни създават рискове за киберсигурността за вашата организация.
Данните на вашите служители в пазара
Всеки ден потребителите – включително вашите служители – обменят поверителността си с онлайн услуги и приложения. Социални медии, услуги за стрийминг на видео и музика, търсачки, платформи за мобилна комуникация – всички тези компании събират огромни количества информация, варираща от лични данни и данни за плащане, GPS местоположение и навици за сърфиране до технически подробности като бисквитки на браузъра, ID на устройството и IP адреси. Някои от тези услуги ровят дълбоко в профилите на потребителите, събирайки подробности като раса или етническа принадлежност, религиозни убеждения, политическа ориентация и предпочитания за пазаруване.
Най-вече платформите се нуждаят от събраните данни, за да предоставят и подобряват своите услуги. Специфични данни като информация за браузър или устройство, например, са необходими за предотвратяване на измами, позволявайки на уебсайтовете да използват тази информация, за да идентифицират легитимни потребители. А за безплатните онлайн услуги монетизирането на потребителска активност и лична информация, като например навици за сърфиране, им позволява да извличат доходи, които поддържат тези услуги.
ОЩЕ ОТ СЪВЕТНИКА НА FORBESНай-добрите застрахователни компании за пътуване
От Amy DaniseEditorНай-добрите планове за застраховка при пътуване срещу Covid-19
От Amy DaniseEditorТака че защо вашата организация трябва да се притеснява, ако служителите споделят личната си информация с търговски или социални услуги, които консумират в свободното си време? В днешния взаимосвързан свят личният и работният живот на служителите се преплитат. Данните на вашите служители, които съществуват на пазара, дават на заплахите много лостове срещу вашата организация и я оставят уязвима за атаки. Изключително важно е да се внедри ефективна защита срещу тези уязвимости.
Как лошите актьори използват данни
Може да е трудно да си представим безпрецедентните обеми лична информация, с която разполагат киберпрестъпниците. Но можем да добием представа, като разгледаме компромиси с данни, които се случват всяка година. Например САЩ са имали рекордните 1862 компромиса на данни през 2021 г. или 68% увеличение спрямо 2020 г., според констатациите на Ресурсния център за кражба на самоличност.
Компрометираните записи в крайна сметка си проправят път към тъмната мрежа, където са свободно достъпни на цени на стоките. Лошите актьори извличат лична информация от тези записи, допълват я с подробности, които намират в социалните медии, и използват тази информация, за да стартират целеви имейл фишинг атаки. Тъй като нападателите могат да персонализират съобщенията въз основа на това, което научават за целите, имейлите изглеждат по-истински и е по-вероятно да принудят получателите да действат, независимо дали това е отваряне на прикачен файл, съдържащ злонамерен софтуер, или кликване върху връзка, която събира техните идентификационни данни.
Единствено действие на служител – едно небрежно щракване – е всичко, което е необходимо на нападателите да се закрепят във вашата организация, след което да се придвижат странично, докато постигнат крайното си намерение. Австралийският хедж фонд Levitas Capital е един пример. Фалшива връзка за покана за Zoom, изпратена до съоснователя на компанията, доведе до плащане на 8,7 милиона долара под формата на измамни фактури. Левитас напусна бизнеса малко след това, обвинявайки решението за непоправимите щети от атаката.
Последствия за вашата организация
Изследванията на Proofpoint показват, че процентът на успех на фишинг атаките нараства. Резултатите от нашето проучване State of the Phish установиха, че 83% от анкетираните организации са преживели поне една успешна имейл фишинг атака през 2021 г., в сравнение със само 57% предходната година. Нападателите увеличиха фокуса си върху компрометиране на хора, а не на системи, като проучването разкрива 18% годишно увеличение на атаките за компрометиране на бизнес имейли.
Акторите на заплахи ще имат успех в компрометирането на организации, докато фишингът остава високоефективна техника. Според констатациите, публикувани в годишния доклад за разследване на нарушения на данните на Verizon (DBIR), фишингът е водещото действие, свързано с нарушения на данните през последните две години. Резултатите от DBIR също установиха, че 85% от нарушенията включват човешко действие, което допълнително подчертава факта, че заплахите, ориентирани към хората, имат огромни последици за всяка организация.
Защита на вашия човешки елемент с съзнание
Разходите за нарушения също нарастват. Според констатациите, докладвани в доклада на IBM за разходите за нарушаване на данните за 2021 г., средната цена се е увеличила с най-големия марж за 17 години, от $3,86 милиона през 2020 г. до $4,24 милиона през 2021 г. Разширяващите се регулаторни изисквания допринасят за тази тенденция.
Общият регламент за защита на данните на Европейския съюз (GDPR), който наближава четвъртата си година от влизането си в сила, продължава да бъде златният стандарт за регулиране на поверителността. В САЩ Калифорния поведе пътя при приемането на първата наредба, подобна на GDPR, Калифорнийския закон за поверителността на потребителите (CCA). Това беше последвано от значително изменение - Закона за правата на поверителност на Калифорния (CPRA). Миналата година Вирджиния и Колорадо също приеха подобни разпоредби за поверителност.
Тази година започва активно в регулаторния пейзаж на киберсигурността и поверителността. Досега Юта е приела Закона за защита на личните данни на потребителите, а SEC предложи нови правила за киберсигурност. Азиатско-тихоокеанският регион също е доста активен, като се разглеждат няколко акта за поверителност на данните на ниво държава. А в края на миналата година Китай прие Закона за защита на личната информация (PIPL), най-бързият закон, който влиза в сила след приемането му. Само с няколко месеца предизвестие организациите трябваше да се борят за съответствие.
Като се имат предвид практиките за събиране на данни от потребителските технологични компании, заплахите, които използват тези данни, за да компрометират организациите, и непрекъснато променящата се регулаторна среда, най-добрият начин да защитите компанията си срещу една-единствена грешка на неволен или небрежен служител е чрез комуникация. Обучете хората си за обхвата на информацията, която онлайн услугите събират за тях пряко и непряко, и как това засяга не само тяхната лична поверителност, но и цялата ви организация.
Технологичният съвет на Forbes е общност само с покана за ИТ директори, технически директори и технологични ръководители от световна класа. Отговарям ли на изискванията?
