Chroń siebie i swoich klientów przed kradzieżą tożsamości i danych

Opublikowany: 2016-06-17

Pssst… chcesz kupić 25 milionów adresów e-mail i haseł? Co powiesz na bardzo poufne dane finansowe dotyczące Twojego największego konkurenta?

Obecnie marketerzy ciężko pracują, aby zebrać szczegółowe informacje o swoich klientach, abyśmy mogli znaleźć odpowiednich ludzi na odpowiednich kontach i kierować ich zainteresowania za pomocą spersonalizowanych treści. Coraz częściej przechowujemy więcej informacji osobistych i zastrzeżonych.

Ale – nie ma dnia bez nowego przypadku kradzieży danych firmy. Jeśli Twoja organizacja przechowuje dużo danych, jesteś atrakcyjnym celem dla internetowych złodziei tożsamości i danych. Dane i informacje są teraz walutą sieci, a złoczyńcy chcą zdobyć ich jak najwięcej. Bardziej niż kiedykolwiek musisz zwracać szczególną uwagę na to, jak pozyskujesz, przechowujesz – a ostatecznie niszczysz – dane konsumentów i firm.

Rozmiar zagrożenia kradzieżą tożsamości i danych

Centrum Zasobów dotyczących Kradzieży Tożsamości (ITRC) gromadzi i wymienia naruszenia danych potwierdzone przez różne źródła medialne i/lub listy powiadomień od agencji rządowych. Ta lista jest aktualizowana codziennie i publikowana w każdy wtorek.

Według ITRC w 2015 roku doszło do 781 naruszeń.

  • Sektor biznesowy ponownie znalazł się na szczycie listy naruszeń z prawie 40 procentami naruszeń zgłoszonych publicznie w 2015 roku, co stanowi wzrost o 8,1 procent w stosunku do danych z 2014 roku.
  • Sektor zdrowia/medycyny miał 35,5% wszystkich naruszeń, co oznacza spadek o 8,6% w stosunku do rekordowego poziomu 44,1% w 2014 r.
  • Sektor bankowy/kredytowy/finansowy zajął trzecie miejsce z 9,1% naruszeń, co stanowi prawie dwukrotnie większą liczbę naruszeń zgłoszonych w 2014 r. Po raz pierwszy branża ta znalazła się w pierwszej trójce.

„Naruszenia to trzecia pewność w życiu” — powiedział Adam Levin, prezes i założyciel firmy IDT911, dostawcy usług ochrony tożsamości i ochrony danych. „Można bezpiecznie założyć, że rzeczywista liczba naruszeń jest znacznie wyższa niż to, co jest zgłaszane”.

Do tej pory w 2016 r. głośne naruszenia dotyczyły Departamentu Sprawiedliwości USA (10 000 pracowników Departamentu Bezpieczeństwa Wewnętrznego, 20 000 pracowników FBI), Snapchata (700 obecnych i byłych pracowników), Verizon Enterprise Solutions (około 1,5 miliona klientów), Philippine Commission o wyborach (dane osobowe każdego wyborcy na Filipinach – około 55 milionów ludzi) i wiele więcej.

Rodzaj kradzieży danych

Niezależnie od branży, jeśli Twoje dane zostaną naruszone lub dane Twoich klientów lub klientów, WPŁYNIE to na Twoje wyniki finansowe. Ochrona marki i zarządzanie danymi to elementy składowe rynku cyfrowego. Bez tych zasad Twoi klienci mogą (i zaczną) kwestionować Twoje zaangażowanie w bezpieczeństwo ich danych.

Więc czego szukają źli ludzie?

Złodzieje obierają sobie za cel dane osobowe, finansowe i inne dane osobowe, w tym:

  • Nazwiska i adresy
  • Numer telefonu
  • Adresy e-mail
  • Numery ubezpieczenia społecznego
  • Numery kont bankowych
  • Numery kart kredytowych i debetowych
  • Hasła do kont
  • Pytania bezpieczeństwa i odpowiedzi

Jak działają naruszenia danych?

Ataki mogą przybierać różne formy i można je łączyć w celu zapewnienia w pewnych okolicznościach wielostronnego podejścia do incydentu. Obejmują one między innymi.

Wyłudzanie informacji

Oszustwa związane z wyłudzaniem informacji to zazwyczaj fałszywe wiadomości e-mail, które wydają się pochodzić z legalnych firm (np. uniwersytetu, dostawcy usług internetowych, banku). Kliknij link w wiadomości – wtedy rozpęta się piekło i możesz zostać oczyszczony. Naruszenie SnapChat było incydentem typu phishing.

Hakerstwo

Hakerzy i hakerzy są najczęściej kojarzeni z atakami złośliwego oprogramowania w Internecie i innych sieciach. Powoduje to wiele problemów, które mogą mieć wpływ na infrastrukturę i oprogramowanie.

Złośliwe oprogramowanie

„Złośliwe oprogramowanie” to skrót oznaczający „złośliwe oprogramowanie”. Jest to oprogramowanie zaprojektowane specjalnie w celu uzyskania dostępu do komputera lub jego uszkodzenia bez wiedzy właściciela. Niedawny wyciek danych na Twitterze (czerwiec 2016 r.) – 32 miliony danych logowania do Twittera jest obecnie sprzedawanych w ciemnej sieci – wydaje się być wynikiem infekowania złośliwym oprogramowaniem przez hakerów przeglądarek, w tym Firefox i Chrome.

Malvertising

Czy wykorzystanie reklam internetowych do rozprzestrzeniania złośliwego oprogramowania. Malvertising polega na wstrzykiwaniu złośliwego kodu, który może ukrywać się niewykryty. Użytkownik nie ma pojęcia o potencjalnych szkodach, które mogą spowodować. Możesz to odebrać ze złośliwej reklamy na zaufanej stronie.

Oprogramowanie wymuszające okup

Jest to rodzaj złośliwego oprogramowania, którego celem jest blokowanie dostępu do systemu komputerowego do czasu wpłacenia pewnej kwoty i zniesienia blokady. Badacze firmy Trend Micro niedawno odkryli zaktualizowaną wersję FLockera, oprogramowania ransomware do blokowania mobilnego ekranu systemu Android, które może również blokować inteligentne telewizory. „FLocker spróbuje cię przekonać, że zrobiłeś coś nielegalnego z telewizorem i zaoferuje, że pozwoli ci się z niego wydostać, płacąc okup. Nie w Bitcoin, jak większość oprogramowania ransomware: to wymaga kart podarunkowych iTunes o wartości 200 USD”.

Kradzież sprzętu

Skradzione laptopy, dyski twarde itp. mogą być skarbnicą niezabezpieczonych danych i informacji.

Wykorzystanie przypadkowego uwolnienia

Ta kategoria ryzyka obejmuje wyciek danych, niewłaściwą utylizację zasobów cyfrowych oraz inne wypadki lub kradzież pracowników.

Po uzyskaniu dostępu do danych złodzieje wykorzystują skradzione dane do:

  • Nadużywaj tożsamości ludzi
  • Popełniaj oszustwa finansowe – wszystkie formy i rodzaje
  • Użyj skradzionych informacji, aby popełnić dodatkowe przestępstwa
  • Brudne pieniądze
  • Podszywać się pod inne osoby w celu prześladowania i nękania
  • Prowadzić działalność terrorystyczną
  • Korporacyjne i inne rodzaje manipulacji

Po wystąpieniu naruszenia ochrony danych wpływają one na każdy aspekt Twojej firmy i mają bezpośredni wpływ na wiele obszarów funkcjonalnych, w tym prawny, finansowy, informatyczny, marketingowy, sprzedażowy i usługowy.

Co możesz zrobić, aby zapobiec kradzieży danych?

Nic nie uczyni cię kuloodpornym. To powiedziawszy, istnieje kilka prostych kroków, dzięki którym możesz poczynić wielkie postępy w ochronie swojej marki, klientów, a ostatecznie swojej reputacji.

Oto przydatna lista rzeczy do zrobienia do sprawdzenia:

  • Twój pierwszy krytyczny krok: bezpieczeństwo techniczne. Przejrzyj wszystkie potencjalne luki wewnętrzne
  • Przeprowadź kompleksową ocenę ryzyka, aby zidentyfikować zagrożenia, przeanalizować potencjalne szkody i określić, jakie rozsądne działania łagodzące podjąłbyś w przypadku naruszenia
    • Zrozumieć krajobraz prawny
    • Wdrażanie polityk i procedur zgodnych z kwestiami prawnymi
  • Zaktualizuj swoją technologię antywirusową i aktualizuj ją
  • Szkol swoich pracowników, aby budować bezpieczniejsze nawyki i świadomość w zakresie przetwarzania danych
  • Opracuj pisemny program bezpieczeństwa informacji i reagowanie na incydenty
    • Okresowo przeglądaj program, aby chronić się przed nowymi i ewoluującymi zagrożeniami
    • Jasno zrozum, jaki jest twój plan wyizolowania i złagodzenia zagrożenia (zagrożeń)
  • Wymagaj od dostawców stosowania najlepszych praktyk w zakresie bezpieczeństwa
    • Uczyń te wymagania częścią swojego języka umownego i uwzględnij kary za nieprzestrzeganie
  • Spraw, by prywatność stała się korporacyjnym mandatem do przyjęcia — stwórz zespół ds. naruszenia danych i daj mu uprawnienia do wprowadzania zmian tam, gdzie jest to konieczne ze względu na bezpieczeństwo i ochronę

Istnieje wiele firm i organizacji, które oferują usługi i informacje związane z naruszeniami bezpieczeństwa danych. Online Trust Alliance ma ogromne informacje na temat tego, jak zapewnić sobie ochronę w Internecie, a także oferuje świetny wgląd w planowanie świadomości naruszenia danych.

Pamiętaj, że w naszej gospodarce cyfrowej nie chodzi o to, „jeśli” – chodzi o to, „kiedy” nastąpi naruszenie. Jak powiedział John Chambers, dyrektor generalny Cisco przez 20 lat: „Istnieją dwa rodzaje firm: te, które zostały zhakowane, i te, które nie wiedzą, że zostały zhakowane”.

Dzięki,

Dawid