ID とデータの盗難から自分自身とクライアントを保護

公開: 2016-06-17

Pssst … 2,500 万のメールアドレスとパスワードを購入したいですか? 最大の競合他社に関する機密性の高い財務データはどうですか?

今日のマーケティング担当者は、顧客に関する詳細な情報を収集するために懸命に取り組んでいるため、適切なアカウント内の適切な人々を見つけ、パーソナライズされたコンテンツで彼らの関心をターゲットにすることができます。 私たちはますます多くの個人情報や専有情報を保持しています。

しかし、企業のデータが盗まれたという新たな事件が起こらない日はありません。 組織が大量のデータを保存している場合、オンライン ID およびデータ泥棒にとって格好の標的となります。 現在、データと情報は Web の通貨であり、悪者はそれをできる限り入手したいと考えています。 消費者やビジネスのデータを取得、保存、最終的には破棄する方法について、これまで以上に真剣に取り組む必要があります。

ID およびデータ盗難の脅威の規模

Identity Theft Resource Center (ITRC) は、さまざまなメディア ソースおよび/または州政府機関からの通知リストによって確認されたデータ侵害を編集して一覧表示します。 このリストは毎日更新され、毎週火曜日に公開されます。

ITRC によると、2015 年には 781 件の侵害がありました。

  • ビジネス セクターは、2015 年に公に報告された侵害の 40% 近くを占め、2014 年の数値から 8.1% 増加し、再び侵害リストのトップになりました。
  • 保健/医療部門は、全体的な侵害の 35.5% を占めており、2014 年の過去最高の 44.1% から 8.6% 減少しています。
  • 銀行/クレジット/金融セクターは、2014 年に報告された侵害数のほぼ 2 倍で、侵害の 9.1% で 3 位にランクされました。この業界が上位 3 位にランクされたのはこれが初めてでした。

ID およびデータ侵害防御サービスのプロバイダーである IDT911 の会長兼創設者である Adam Levin 氏は、次のように述べています。 「侵害の実際の数は、報告されている数よりもはるかに多いと考えて間違いありません。」

2016 年のこれまでのところ、注目を集めた侵害には、米国司法省 (国土安全保障省の職員 10,000 人、FBI の職員 20,000 人)、Snapchat (現職および元職員 700 人)、Verizon Enterprise Solutions (約 150 万人の顧客)、フィリピン委員会などがあります。選挙 (フィリピンのすべての有権者の個人情報 - 約 5,500 万人)、およびその他多数。

データ盗難の種類

業界に関係なく、自分自身のデータ、またはクライアントや顧客のデータが侵害された場合、収益に影響を与えます. ブランド保護とデータ スチュワードシップは、デジタル市場の構成要素です。 これらの信条が整っていなければ、クライアントは、データ セキュリティに対するあなたのコミットメントに疑問を持ち始める可能性があります (そしてそうなるでしょう)。

それで、悪者は何を求めているのですか?

窃盗犯は、次のような個人情報、財務情報、およびその他の個人を特定できる情報 (PII) を標的にします。

  • 名前と住所
  • 電話番号
  • メールアドレス
  • 社会保障番号
  • 銀行口座番号
  • クレジット カードとデビット カードの番号
  • アカウントのパスワード
  • セキュリティの質問と回答

データ侵害はどのように機能しますか?

攻撃にはさまざまな形態があり、特定の状況でインシデントに対する多面的なアプローチを提供するために具体的に組み合わせることができます。 これらには以下が含まれますが、これらに限定されません。

フィッシング

フィッシング詐欺は通常、正当な企業 (大学、インターネット サービス プロバイダー、銀行など) から送信されたように見える不正な電子メール メッセージです。 メッセージ内のリンクをクリックしてください。そうすれば、すべての地獄が解き放たれ、自分が一掃されていることに気付くかもしれません. SnapChat の侵害はフィッシング インシデントでした。

ハッキング

ハッキングとハッカーは、インターネットやその他のネットワークでの悪意のあるプログラミング攻撃に最も一般的に関連付けられています。 これにより、インフラストラクチャとソフトウェアに影響を与える可能性のある多くの問題が発生します。

マルウェア

「マルウェア」とは、「悪意のあるソフトウェア」を意味する略語です。 これは、所有者の知らないうちにコンピューターにアクセスしたり、コンピューターに損害を与えたりするように特別に設計されたソフトウェアです。 最近の Twitter のデータ侵害 (2016 年 6 月) - 3,200 万件の Twitter ログイン資格情報がダーク Web で販売されている - は、ハッカーが Firefox や Chrome などのブラウザーにマルウェアを感染させた結果であるように思われます。

マルバタイジング

オンライン広告を使用してマルウェアを拡散することです。 マルバタイジングには、検出されずに隠れることができる悪意のあるコードを挿入することが含まれます。 ユーザーは、発生する可能性のある潜在的な損傷について何も知りません。 これは、信頼できるサイトの悪意のある広告から取得できます。

ランサムウェア

これは、金銭が支払われてブロックが解除されるまで、コンピュータ システムへのアクセスをブロックするように設計された悪意のあるソフトウェアの一種です。 Trend Micro の研究者は最近、スマート TV もロックできる Android モバイル ロック画面ランサムウェアである FLocker の更新バージョンを発見しました。 「FLocker は、あなたがテレビで何か違法なことをしたと思い込ませようとし、身代金を支払うことでテレビから抜け出すことを提案します。 ほとんどのランサムウェアとは異なり、ビットコインにはありません。このランサムウェアは、200 ドル相当の iTunes ギフトカードを要求します。」

ハードウェアの盗難

盗まれたラップトップやハード ドライブなどは、保護されていないデータや情報の宝庫になる可能性があります。

偶発的なリリースの悪用

これらのリスクのカテゴリには、データ流出、デジタル資産の不適切な処分、およびその他の事故や従業員の盗難が含まれます。

データにアクセスできるようになると、泥棒は盗んだデータを次の目的で使用します。

  • 人の身元を悪用する
  • 金融詐欺の実行 – すべての形態と種類
  • 盗んだ情報を使ってさらなる犯罪を犯す
  • 資金洗浄
  • ストーキングや嫌がらせを目的としたなりすまし行為
  • テロ活動を行う
  • 企業およびその他の種類の操作

データ侵害が発生すると、企業のあらゆる側面に影響を与え、法務、財務、IT、マーケティング、販売、サービスなど、多くの機能分野に直接影響を及ぼします。

データの盗難を防ぐために何ができますか?

あなたを防弾にするものは何もありません。 そうは言っても、ブランド、顧客、そして最終的には評判を守るために、いくつかの大きな進歩を遂げるためのいくつかの簡単なステップがあります.

レビュー用の便利な To Do リストを次に示します。

  • 重要な最初のステップ: 技術的なセキュリティ。 潜在的な内部抜け穴をすべて確認する
  • 包括的なリスク評価を実施して、脅威を特定し、潜在的な損害を分析し、違反が発生した場合にどのような合理的な軽減策を講じるかを特定します
    • 法的状況を理解する
    • 法的問題と一致するポリシーと手順を実装する
  • ウイルス対策技術を更新し、常に最新の状態に保つ
  • 従業員をトレーニングして、より安全なデータ処理の習慣と意識を構築します
  • 文書化された情報セキュリティ プログラムとインシデント対応を開発する
    • プログラムを定期的に見直して、新たに進化する脅威から保護します
    • 脅威を隔離して軽減するための計画を明確に理解する
  • ベンダーにセキュリティのベスト プラクティスを採用するよう要求する
    • これらの要件を契約上の文言の一部にし、違反に対する罰則を含めます
  • プライバシーを採用するための企業の義務とする – データ侵害チームを作成し、安全とセキュリティのために必要な変更を加える権限をチームに与えます

データ侵害サービスと情報を提供する企業や組織は数多くあります。 オンライン トラスト アライアンスは、オンラインで自分自身を保護する方法に関する膨大な情報を提供しており、データ侵害の認識計画に関する優れた洞察も提供しています。

私たちのデジタル経済では、「もし」の場合ではなく、侵害が「いつ」発生するかの場合であることを忘れないでください。 Cisco の CEO を 20 年間務めた John Chambers の有名な言葉があります。

乾杯、

デビッド