Alors que le nombre de violations de données, les incidents de sécurité et les attaques de ransomwares continuent d'augmenter, la préparation est devenue encore plus importante - et ne vous y trompez pas, ces attaques se produisent à tous les types d'organisations.
Ces menaces sont augmentées lorsque les organisations manquent d'un plan de cybersécurité solide, car un manque de préparation appropriée et des plans appropriés entraîneront des coûts plus élevés.Pendant des années, la sécurité des données a été mise à l'écart afin de se concentrer sur des efforts davantage générateurs de bénéfices et d'économie, mais les organisations réalisent de plus en plus les incidents de sécurité d'impact peuvent avoir - directement et indirectement - sur leurs actifs, y compris leurs données, ainsi que sur leurs donnéesla réputation et l'augmentation des coûts associés à la réponse à ces incidents.
Ce problème est particulièrement pertinent pour les organisations à but non lucratif.Avec un modèle d'entreprise qui repose généralement sur les donateurs, la nécessité de protéger les informations financières et personnelles de ceux qui contribuent est essentielle à la capacité de l'organisation à but non lucratif à gagner et à maintenir la confiance, la bonne volonté et le financement.Si une organisation à but non lucratif engage des transactions sur son site Web, telles que le traitement des dons ou des enregistrements d'événements, et / ou des transferts (y compris l'envoi dans un cloud) «Informations personnellement identifiables» (E.g., des noms;adresses physiques et électroniques;Numéros de sécurité sociale;l'information financière;les informations médicales des clients;et les dossiers des employés, y compris les informations W-9) sur quiconque, et / ou recueille des informations sur les préférences et les habitudes des donateurs, des clients, des abonnés de newsletter, etc.., alors l'organisation est à risque d'incidents de sécurité et pourrait être exposée au préjudice qui en résulte.
De nombreuses lois sur la sécurité et la confidentialité des données, y compris les dispositions des lois fédérales et des lois spécifiques aux États, telles que la California Consumer Privacy Act (CCPA), créent une taille pour les organisations à but non lucratif afin que seules les organisations à but lucratif soient soumises aux règles etRèglement de ces lois.En conséquence, de nombreuses organisations à but non lucratif choisissent de renoncer aux obligations coûteuses des lois sur la sécurité des données / confidentialité car elles ne sont pas liées par eux.Malheureusement, renoncer aux étapes de cybersécurité détaillées dans ces lois et réglementations peut laisser ces entités vulnérables aux attaques.
L'objectif de cet article est de donner un aperçu des types de violations ou d'incidents qui peuvent survenir et de fournir une feuille de route de haut niveau sur la façon de réagir si une organisation se retrouve au centre d'une attaque menacée ou réelle.Nous recommandons également des mesures proactives à prendre pour empêcher, préparer et / ou protéger contre ces attaques.Nous notons que chaque organisation et attaque est différente;Les organisations devraient demander un avis juridique lors de la réponse aux attaques de sécurité.
Type d'incidents de sécurité et comment ils se produisent
Il existe une variété de types d'incidents de sécurité des données qui pourraient affecter une organisation.Par exemple, il peut y avoir une violation des systèmes informatiques d'une organisation, exposant potentiellement des informations sur ses serveurs.Un autre type d'incident est une attaque de ransomware, dans laquelle les attaquants ont accès au système d'une organisation, crypter les données et exiger une rançon en échange de la clé pour accéder à ses données.En général, un incident de sécurité des données est un incident au cours duquel tout acteur non autorisé pénètre dans les systèmes ou le réseau de l'organisation, qu'ils soient en interne ou via des systèmes ou des réseaux opérant au nom de l'organisation sur les systèmes des fournisseurs.
Dans l'organisation à but non lucratif qui donne un exemple, la fuite d'informations sur les donateurs - qu'il s'agisse d'informations personnelles liées à la démographie, ou d'informations plus sensibles, y compris les finances, telles que les numéros de compte bancaire, les numéros de routage, les autres informations filaires ou toute information financière utilisée.Cette exposition potentielle est probablement la plus préoccupante pour les organisations à but non lucratif et probablement la plus grande cible des attaquants.
Pour quelques exemples récents de ces attaques, référence à l'incident de la banque alimentaire de l'Utah (dans laquelle plus de 10 000 informations personnelles des individus soumises via le site Web de dons ont été exposées par un pirate), l'attaque affectant le comité international de la Croix-Rouge (une attaque ciblée surLes serveurs du CICR qui ont compromis plus de 500 000 données personnelles et confidentielles des individus hautement vulnérables), le YMCA of Greater Charlotte Incident (une attaque de ransomware contre leurs serveurs qui ont affecté un nombre inconnu d'utilisateurs), l'incident de la plate-forme ShopGoodwill (une vulnérabilité de site Web qui a étéa conduit à une violation de données qui a affecté les comptes des clients utilisant sa plate-forme de vente aux enchères de commerce électronique), ou la violation qui a affecté le partenariat HealthPlan de Californie, une organisation à but non lucratif qui gère les soins de santé pour les comtés de Californie (une attaque de ransomware qui a conduit à laRansomware Group volant des données privées pour environ 850 000 membres, y compris les numéros de sécurité sociale).
Des exemples supplémentaires de risques d'incidents de sécurité comprennent (i) une violation des informations sur l'emploi (E.g.Faiblesses de sécurité des systèmes RH);(ii) Hacks de commerce électronique (E.g.Si une source en ligne utilise un outil de collecte de fonds, les informations de paiement qui y sont fournies peuvent être vulnérables);(iii) Erreur humaine;et (iv) une défaillance matérielle.
Les deux derniers exemples peuvent se composer comme un risque combiné.L'erreur humaine est souvent le résultat d'un manque de formation concernant les questions personnelles de cybersécurité et de confidentialité et la cause de l'exposition accidentelle des données personnelles des clients (ou donateurs) par négligence.Les exemples courants de faible cyber-IQ incluent une faible gestion des mots de passe (e.g.Mots de passe trop courts ou simples;trop long de terme avant de nécessiter la réinitialisation des mots de passe), l'utilisation de logiciels anciens et non mis à jour, ainsi qu'une négligence générale avec la gestion des données (e.g.partager des informations personnelles avec des individus non autorisés;Ne pas protéger l'ordinateur lorsque l'ordinateur n'est pas supervisé).La défaillance du matériel peut également être comprise comme un risque de matériel physique volé et / ou des logiciels obsolètes qui ne sont pas assez forts pour se protéger contre les pirates plus sophistiqués.
Violation des vendeurs et réponses et responsabilités des organisations à but non lucratif
Les organisations à but non lucratif s'engagent souvent avec des fournisseurs de services tiers pour une variété de services, y compris où l'organisation à but non lucratif accepte les dons et peut choisir de l'externaliser.D'autres sources de fournisseurs tiers incluent généralement un comptable externalisé, un service de paie et d'autres outils de gestion des ressources humaines, un service de stockage cloud ou tout professionnel externes avec autorisation d'accéder au côté administratif du site Web d'une organisation à but non lucratif ou de fichiers électroniques partagés.
Il est extrêmement important pour les organisations à but non lucratif de s'assurer que les fournisseurs tiers utilisent des pratiques de protection de la sécurité des données adéquates;Il existe toujours le risque que les données traitées par le vendeur au nom de l'organisation à but non lucratif soient soumises à une attaque de sécurité.Comme l'organisation à but non lucratif est souvent le collecteur des données, l'organisation à but non lucratif maintient la responsabilité de la protection de ces informations.Impact numérique.IO, une initiative de laboratoire de la société civile numérique soutenue par la Fondation Bill et Melinda Gates et créée pour aider les praticiens du secteur social à utiliser les ressources numériques en toute sécurité, éthiquement et efficacement, a développé un ensemble de questions standard pour poser des fournisseurs sur leur approche de la sécurité des données iciCela peut être utile.
Lorsque vous travaillez avec les fournisseurs, vous, en tant qu'organisation à but non lucratif, souhaitez (i) établir des règles d'engagement claires avec les fournisseurs en ce qui concerne les mesures de sécurité des données et s'y tenir, (ii) la création d'un questionnaire pour chacun des fournisseurs tiersPour établir des domaines de vulnérabilité particulière des données, et (iii) d'audit et de surveiller vos fournisseurs pour se conformer aux pratiques de sécurité des données.Bien que les questions spécifiques puissent varier en fonction du rôle du fournisseur et des données auxquelles ils peuvent avoir accès, certaines bonnes questions à poser pour poser aux fournisseurs peuvent inclure, entre autres:
En plus d'exécuter la diligence raisonnable sur les fournisseurs potentiels, envisagez d'inclure des dispositions de sécurité pour vous protéger par contrat, comme une disposition de confidentialité, une exigence pour informer rapidement et en détail toute violation de données ou incident de sécurité, et / ou une exigence pourMaintenir des contrôles de sécurité spécifiques, y compris le chiffrement, la sécurité du réseau, les droits d'audit, etc..Un avocat de la confidentialité et de la sécurité des données peut également aider à cette tâche.
Étapes pratiques pour atténuer le cyber-risque
En termes de surveillance de la qualité des systèmes de sécurité des données, les organisations à but non lucratif peuvent prendre des mesures pour comprendre leurs systèmes et quels peuvent être les signes de faiblesse.Une première étape de ce processus consiste à identifier les informations sensibles détenues par l'entreprise, car vous ne pouvez pas protéger ce que vous ne savez pas que vous avez.Les organisations devraient avoir des politiques et procédures écrites, telles qu'une politique écrite de sécurité de l'information (WISP) ou une alternative similaire qui décrit les politiques, les procédures et les contrôles de sécurité pour la protection des informations personnelles (actuellement requise par de nombreux États, notamment le Massachusetts, la Californie etTexas), ainsi qu'un plan de réponse aux incidents pour guider les actions en cas d'incident.
Il existe également des étapes techniques largement recommandées à prendre qui réduisent la cyber-risque de manière significative, notamment:
En plus des outils de la FTC, un autre point de référence peut être trouvé via le cadre de cybersécurité du National Institute of Standards and Technology (NIST), qui peut aider les organisations à but non lucratif à identifier les risques et à prendre des décisions de gestion pour atténuer ces risques.
Vous ne pourrez peut-être pas empêcher complètement les attaques, mais vous pouvez être préparé
Quoi qu'il en soit, aucune entreprise ou organisation n'est en mesure d'empêcher pleinement toute forme d'incident de sécurité, d'attaque ou de violation de données, mais vous pouvez gérer vos systèmes pour surveiller et vous préparer à répondre à de tels incidents ou menaces.Travailler avec votre équipe informatique pour identifier les données sensibles et / ou confidentielles que votre organisation à but non lucratif recueille et conserve, ainsi que la surveillance de vos politiques de sécurité, procédures et systèmes est un début fort.Savoir à quoi vous attendre lorsque vous vous engagez avec un fournisseur de services tiers est un autre élément essentiel d'un fort programme de cyber-protection.Démontrer votre connaissance de la cybersécurité à vos clients, donateurs, fournisseurs et employés permettra à votre organisation non seulement de protéger vos données, mais aussi de créer des relations et de favoriser la bonne volonté.