Global Resident Chief Information Security Officer (CISO) pro Proofpoint.
Žijeme v digitálním světě, kde jsou data novou měnou jak pro firmy, tak pro kyberzločince. Mnoho poskytovatelů online služeb shromažďuje obrovské množství spotřebitelských dat – a aktéři hrozeb mohou tato data použít k narušení vaší organizace.
Dokonce i útok na spotřebitelskou službu může mít pro vaši firmu nebezpečné důsledky. Musíte pochopit, jaký druh dat shromažďují digitální nástroje, které vaši zaměstnanci používají, a jak tato data vytvářejí pro vaši organizaci rizika kybernetické bezpečnosti.
Údaje o vašich zaměstnancích na webu Marketplace
Spotřebitelé – včetně vašich zaměstnanců – si každý den vyměňují své soukromí za online služby a aplikace. Sociální média, služby streamování videa a hudby, vyhledávače, mobilní komunikační platformy – všechny tyto společnosti shromažďují obrovské množství informací od osobních a platebních údajů, GPS polohy a zvyklostí při prohlížení až po technické podrobnosti, jako jsou soubory cookie prohlížeče, ID zařízení a IP adresy. Některé z těchto služeb pronikají hluboko do profilů spotřebitelů a shromažďují podrobnosti, jako je rasa nebo etnická příslušnost, náboženské přesvědčení, politická orientace a nákupní preference.
Platformy většinou potřebují shromážděná data k poskytování a zlepšování svých služeb. Specifikace, jako jsou například informace o prohlížeči nebo zařízení, jsou nezbytné k zabránění podvodům, což webovým stránkám umožňuje používat tyto informace k identifikaci legitimních uživatelů. A u bezplatných online služeb jim zpeněžení aktivity uživatelů a soukromých informací, jako jsou zvyky při prohlížení, umožňuje získat příjem, který tyto služby podporuje.
VÍCE FROMFORBES ADVISORNejlepší cestovní pojišťovny
ByAmy DaniseEditorNejlepší plány cestovního pojištění Covid-19
ByAmy DaniseEditorProč by se tedy vaše organizace měla znepokojovat, když zaměstnanci sdílejí své osobní údaje komerční nebo sociální služby, které využívají ve svém volném čase? V dnešním propojeném světě se osobní a pracovní život zaměstnanců prolíná. Data vašich zaměstnanců, která existují na trhu, poskytují aktérům hrozeb velký vliv na vaši organizaci a zanechávají ji zranitelnou vůči útokům. Implementace účinné ochrany proti těmto zranitelnostem je zásadní.
Jak špatní herci využívají data
Může být těžké omotat hlavu kolem bezprecedentního množství osobních informací, které mají kyberzločinci k dispozici. Ale můžeme si udělat představu, když se podíváme na datové kompromisy, ke kterým dochází každý rok. Například USA měly v roce 2021 rekordních 1 862 kompromitací dat, nebo 68% nárůst oproti roku 2020, podle zjištění z Identity Theft Resource Center.
Prolomené záznamy se nakonec dostanou na temný web, kde jsou volně dostupné za ceny komodit. Špatní herci z těchto záznamů vybírají osobní údaje, doplňují je podrobnostmi, které najdou na sociálních sítích, a využívají tyto informace ke spouštění cílených e-mailových phishingových útoků. Vzhledem k tomu, že útočníci mohou přizpůsobit zprávy na základě toho, co se o cílech dozvědí, e-maily vypadají skutečněji a je pravděpodobnější, že donutí příjemce jednat, ať už se jedná o otevření přílohy obsahující malware nebo kliknutí na odkaz, který získá jejich přihlašovací údaje.
Jediná akce zaměstnance – jedno neopatrné kliknutí – stačí k tomu, aby útočníci získali oporu ve vaší organizaci a poté se přesunuli do strany, dokud nedosáhnou svého konečného záměru. Jedním z příkladů je australský hedgeový fond Levitas Capital. Falešný odkaz na pozvání Zoom odeslaný spoluzakladateli společnosti vedl k tomu, že společnost zaplatila 8,7 milionu dolarů na podvodných fakturách. Levitas krátce nato ukončil činnost a obvinil z rozhodnutí nenapravitelné škody způsobené útokem.
Důsledky pro vaši organizaci
Výzkum společnosti Proofpoint ukazuje, že úspěšnost phishingových útoků roste. Výsledky naší studie State of the Phish zjistily, že 83 % dotázaných organizací zažilo v roce 2021 alespoň jeden úspěšný e-mailový phishingový útok, ve srovnání s pouze 57 % o rok dříve. Útočníci se zaměřili spíše na kompromitování lidí než na systémy, přičemž průzkum odhalil 18% meziroční nárůst útoků na firemní e-maily.
Aktéři hrozeb budou úspěšní při kompromitování organizací, dokud phishing zůstane vysoce účinnou technikou. Podle zjištění zveřejněných ve výroční zprávě Verizon Data Breach Investigations Report (DBIR) byl phishing v posledních dvou letech hlavní akcí související s úniky dat. Výsledky DBIR také zjistily, že 85 % narušení zahrnuje lidskou akci, což dále zdůrazňuje skutečnost, že hrozby zaměřené na lidi mají obrovské důsledky pro jakoukoli organizaci.
Bránit svůj lidský prvek s vědomím
Náklady na porušení také rostou. Podle zjištění uvedených v IBM’s Cost of a Data Breach Report 2021 se průměrné náklady zvýšily o největší marži za 17 let, z 3,86 milionu USD v roce 2020 na 4,24 milionu USD v roce 2021. K tomuto trendu přispívají rozšiřující se regulační požadavky.
Zlatým standardem regulace ochrany osobních údajů je i nadále obecné nařízení Evropské unie o ochraně osobních údajů (GDPR), které se blíží čtvrtému roku od vstupu v platnost. V USA vedla Kalifornie k přijetí prvního nařízení podobného GDPR, kalifornského zákona o ochraně soukromí spotřebitelů (CCA). Následoval významný dodatek — kalifornský zákon o ochraně osobních údajů (CPRA). V loňském roce prošly podobnými předpisy o ochraně soukromí také Virginia a Colorado.
Letošní rok začíná aktivně v oblasti regulace kybernetické bezpečnosti a soukromí. Utah zatím schválil zákon o ochraně soukromí spotřebitelů a SEC navrhla nová pravidla kybernetické bezpečnosti. Asijsko-pacifický region byl také poměrně aktivní a zvažuje se několik zákonů o ochraně osobních údajů na úrovni jednotlivých zemí. A na konci loňského roku Čína schválila zákon o ochraně osobních údajů (PIPL), nejrychlejší zákon, který po přijetí vstoupil v platnost. S oznámením pouhých několika měsíců musely organizace bojovat o dodržování předpisů.
S ohledem na postupy shromažďování dat ze strany společností zabývajících se spotřební technologií, aktéry hrozeb využívající tato data ke kompromitaci organizací a neustále se měnící regulační prostředí je nejlepším způsobem, jak ochránit vaši společnost před jedinou chybou nevědomého nebo neopatrného zaměstnance, komunikace. Poučte své lidi o šíři informací, které o nich online služby přímo i nepřímo shromažďují, a o tom, jak to ovlivňuje nejen jejich osobní soukromí, ale celou vaši organizaci.
Forbes Technology Council je komunita určená pouze pro pozvání pro špičkové CIO, CTO a technologické manažery. Splňuji podmínky?
