Global Resident Chief Information Security Officer (CISO) Proofpointille.
Elämme digitaalisessa maailmassa, jossa data on uusi valuutta sekä yrityksille että kyberrikollisille. Monet verkkopalveluntarjoajat keräävät valtavia määriä kuluttajadataa – ja uhkatoimijat voivat käyttää näitä tietoja murtautuakseen organisaatioosi.
Jopa kuluttajapalveluun kohdistuvalla hyökkäyksellä voi olla vaarallisia seurauksia yrityksellesi. Sinun on ymmärrettävä, millaista dataa työntekijäsi käyttämät digitaaliset työkalut keräävät ja miten tämä data luo kyberturvallisuusriskejä organisaatiollesi.
Työntekijäsi tiedot markkinoilla
Joka päivä kuluttajat – myös työntekijäsi – vaihtavat yksityisyyttään verkkopalveluihin ja sovelluksiin. Sosiaalinen media, videon ja musiikin suoratoistopalvelut, hakukoneet, matkaviestintäalustat – kaikki nämä yritykset keräävät valtavia määriä tietoa henkilö- ja maksutiedoista, GPS-sijainnista ja selaustavoista teknisiin yksityiskohtiin, kuten selaimen evästeisiin, laitetunnukseen ja IP-osoitteisiin. Jotkut näistä palveluista kaivautuvat syvälle kuluttajien profiileihin ja keräävät tietoja, kuten rotuun tai etniseen alkuperään, uskonnollisiin vakaumuksiin, poliittiseen suuntautumiseen ja ostotottumuksiin.
Enimmäkseen alustat tarvitsevat kerättyjä tietoja tarjotakseen ja parantaakseen palvelujaan. Tarkat tiedot, kuten selain- tai laitetiedot, ovat välttämättömiä petosten estämiseksi, jolloin verkkosivustot voivat käyttää näitä tietoja laillisten käyttäjien tunnistamiseen. Ja ilmaisissa verkkopalveluissa käyttäjien toiminnan ja yksityisten tietojen, kuten selaustottumusten, rahallistaminen antaa heille mahdollisuuden saada tuloja, jotka tukevat näitä palveluita.
LISÄÄ FROMFORBES ADVISORParhaat matkavakuutusyhtiöt
ByAmy DaniseEditorParhaat Covid-19-matkavakuutussuunnitelmat
ByAmy DaniseEditorJoten miksi organisaatiosi pitäisi olla huolissaan, jos työntekijät jakavat henkilökohtaisia tietojaan kaupalliset tai sosiaaliset palvelut, joita he kuluttavat omalla ajalla? Nykypäivän toisiinsa kytkeytyneessä maailmassa työntekijöiden henkilökohtainen ja työelämä kietoutuvat toisiinsa. Työntekijöiden markkinoilla olevat tiedot antavat uhkatoimijoille paljon vipuvaikutusta organisaatiotasi vastaan ja jättävät sen alttiiksi hyökkäyksille. On erittäin tärkeää ottaa käyttöön tehokas suojaus näitä haavoittuvuuksia vastaan.
Kuinka huonot näyttelijät hyödyntävät dataa
Voi olla vaikea pukea päätämme kyberrikollisten käytössä olevien henkilökohtaisten tietojen ennennäkemättömän määrän ympärille. Mutta voimme saada idean tarkastelemalla joka vuosi tapahtuvia datakompromisseja. Esimerkiksi Yhdysvalloissa tehtiin ennätykselliset 1 862 datakompromissia vuonna 2021, mikä tarkoittaa 68 prosentin kasvua vuoteen 2020 verrattuna, Identity Theft Resource Centerin havaintojen mukaan.
Vapautuneet tietueet päätyvät lopulta pimeään verkkoon, jossa ne ovat vapaasti saatavilla hyödykehinnoin. Huonot toimijat poimivat näistä tietueista henkilökohtaisia tietoja, täydentävät niitä sosiaalisesta mediasta löytämillään yksityiskohdilla ja käyttävät tätä tietoa kohdennettujen sähköpostien tietojenkalasteluhyökkäysten käynnistämiseen. Koska hyökkääjät voivat mukauttaa viestejä sen perusteella, mitä he oppivat kohteista, sähköpostit näyttävät aidommilta ja pakottavat vastaanottajat todennäköisemmin toimimaan, olipa kyseessä haittaohjelmia sisältävän liitteen avaaminen tai heidän tunnistetietonsa keräävän linkin napsauttaminen.
Yksi työntekijän toiminto – yksi huolimaton napsautus – riittää, jotta hyökkääjät saavat jalansijaa organisaatiossasi ja siirtyvät sitten sivusuunnassa, kunnes he saavuttavat lopullisen tarkoituksensa. Australialainen hedge-rahasto Levitas Capital on yksi esimerkki. Yrityksen perustajalle lähetetty väärennetty Zoom-kutsulinkki johti siihen, että yritys maksoi 8,7 miljoonan dollarin arvoisia vilpillisiä laskuja. Levitas lopetti toimintansa pian tämän jälkeen ja syytti päätöksestä hyökkäyksen korjaamattomia vahinkoja.
Vaikutukset organisaatiollesi
Proofpointin tutkimus osoittaa, että tietojenkalasteluhyökkäysten onnistumisprosentti on kasvussa. State of the Phish -tutkimuksemme tulokset osoittivat, että 83 % tutkituista organisaatioista koki vähintään yhden onnistuneen sähköpostin tietojenkalasteluhyökkäyksen vuonna 2021, kun vastaava luku edellisenä vuonna oli vain 57 %. Hyökkääjät keskittyivät entistä enemmän ihmisten vaarantamiseen järjestelmien sijaan, ja tutkimus osoitti 18 prosentin vuosittaisen kasvun yrityssähköpostien kompromisseihin verrattuna.
Uhkatoimijat onnistuvat vaarantamaan organisaatioita niin kauan kuin tietojenkalastelu on erittäin tehokas tekniikka. Vuotuisessa Verizon Data Breach Investigations -raportissa (DBIR) julkaistujen havaintojen mukaan tietojenkalastelu on ollut johtava tietoturvaloukkauksiin liittyvä toiminta kahden viime vuoden aikana. DBIR-tulokset osoittivat myös, että 85 % rikkomuksista liittyy ihmisten toimintaan, mikä korostaa entisestään sitä, että ihmiskeskeisillä uhilla on valtava vaikutus mihin tahansa organisaatioon.
Ihmiselementin puolustaminen tietoisuudella
Myös rikkomuksista aiheutuvat kustannukset ovat kasvaneet. IBM:n Cost of a Data Breach Report 2021 -raportissa raportoitujen havaintojen mukaan keskimääräiset kustannukset nousivat suurimmalla marginaalilla 17 vuoteen, 3,86 miljoonasta dollarista vuonna 2020 4,24 miljoonaan dollariin vuonna 2021. Laajentuvat sääntelyvaatimukset edistävät tätä kehitystä.
Euroopan unionin yleinen tietosuoja-asetus (GDPR), joka lähestyy neljättä vuotta voimaantulon jälkeen, on edelleen tietosuojasääntelyn kultainen standardi. Yhdysvalloissa Kalifornia oli edelläkävijä hyväksyessään ensimmäisen GDPR:n kaltaisen asetuksen, California Consumer Privacy Actin (CCA). Tätä seurasi merkittävä muutos – California Privacy Rights Act (CPRA). Viime vuonna Virginia ja Colorado hyväksyivät myös vastaavat tietosuojasäännökset.
Tämä vuosi on alkanut aktiivisesti kyberturvallisuuden ja tietosuojan sääntelyympäristössä. Toistaiseksi Utah on hyväksynyt Consumer Privacy Act -lain, ja SEC on ehdottanut uusia kyberturvallisuussääntöjä. Myös Aasian ja Tyynenmeren alue on ollut varsin aktiivinen, ja useita maatason tietosuojalakeja harkitaan. Ja viime vuoden lopussa Kiina hyväksyi henkilötietojen suojalain (PIPL), nopeimman lain, joka tulee voimaan voimaantulon jälkeen. Vain muutaman kuukauden varoitusajalla organisaatiot joutuivat ponnistelemaan vaatimusten noudattamiseksi.
Kun otetaan huomioon kuluttajateknologiayritysten tiedonkeruukäytännöt, uhkatoimijat, jotka hyödyntävät tietoja organisaatioiden vaarantamiseen, ja jatkuvasti muuttuva sääntelyympäristö, paras tapa suojata yritystäsi tahattoman tai huolimattoman työntekijän yksittäiseltä virheeltä on viestintä. Kouluta ihmisiä siitä, kuinka paljon tietoa online-palvelut keräävät heistä suoraan ja epäsuorasti ja kuinka se vaikuttaa heidän yksityisyytensä lisäksi koko organisaatioosi.
Forbes Technology Council on kutsuva yhteisö maailmanluokan tietohallintojohtajille, teknologiajohtajille ja teknologiajohtajille. Täytänkö vaatimukset?