保护您自己和您的客户免受身份和数据盗窃

已发表: 2016-06-17

嘘……想买 2500 万个电子邮件地址和密码? 关于您最大竞争对手的一些高度机密的财务数据怎么样?

今天的营销人员努力收集有关其客户的详细信息,因此我们可以在正确的帐户中找到正确的人,并针对他们的兴趣提供个性化内容。 我们越来越多地持有更多的个人专有信息。

但是 - 似乎没有一天没有公司数据被盗的新案例。 如果您的组织存储了大量数据,那么您将成为在线身份和数据窃贼的诱人目标。 数据和信息现在是网络的货币,坏人喜欢尽可能多地获取它。 您比以往任何时候都更需要注意获取、存储以及最终销毁消费者和企业数据的方式。

身份和数据盗窃威胁的规模

身份盗窃资源中心 (ITRC) 汇编并列出了各种媒体来源和/或来自州政府机构的通知列表确认的数据泄露事件。 该列表每天更新,每周二发布。

根据 ITRC 的数据,2015 年发生了 781 起违规事件。

  • 在 2015 年公开报告的违规行为中,商业部门再次位居违规列表的首位,比 2014 年的数字增加了 8.1%。
  • 健康/医疗行业占整体违规总数的 35.5%,比 2014 年创纪录的 44.1% 下降了 8.6%。
  • 银行/信贷/金融行业以 9.1% 的泄露事件排名第三,几乎是 2014 年报告的泄露事件数量的两倍。这是该行业首次跻身前三。

“数据泄露已成为生活中的第三种确定性,”身份和数据泄露防御服务提供商 IDT911 的董事长兼创始人亚当莱文说。 “可以肯定地说,实际违规数量远高于报道的数量。”

2016 年到目前为止,备受瞩目的违规事件包括美国司法部(10,000 名国土安全部员工、20,000 名 FBI 员工)、Snapchat(700 名现任和前任员工)、Verizon Enterprise Solutions(约 150 万客户)、菲律宾委员会关于选举(菲律宾每个选民的个人信息——大约 5500 万人),以及更多。

数据窃取类型

无论您身处哪个行业,如果您自己的数据或您的客户或客户的数据遭到泄露,都会影响您的底线。 品牌保护和数据管理是数字市场的基石。 如果没有这些原则,您的客户可能(并且将会)开始质疑您对其数据安全的承诺。

那么,坏人在追求什么?

窃贼的目标是个人、财务和其他个人身份信息 (PII),包括:

  • 姓名和地址
  • 电话号码
  • 电子邮件地址
  • 社会安全号码
  • 银行帐号
  • 信用卡和借记卡号码
  • 帐号密码
  • 安全问题和答案

数据泄露如何运作?

攻击可以采取多种形式,并且可以专门组合以在某些情况下为事件提供多管齐下的方法。 这些包括但不限于。

网络钓鱼

网络钓鱼诈骗通常是看似来自合法企业(例如,您的大学、您的互联网服务提供商、您的银行)的欺诈性电子邮件。 单击消息中的一个链接——然后一切都乱套了,你会发现自己被清理干净了。 SnapChat 漏洞是一起网络钓鱼事件。

骇客

黑客攻击和黑客最常与 Internet 和其他网络上的恶意编程攻击联系在一起。 这会导致许多可能影响基础架构和软件的问题。

恶意软件

“恶意软件”是一个缩写词,意思是“恶意软件”。 这是专门设计用于在所有者不知情的情况下访问或损坏计算机的软件。 最近的 Twitter 数据泄露事件(2016 年 6 月)——3200 万个 Twitter 登录凭据现在在暗网上出售——似乎是黑客用恶意软件感染浏览器(包括 Firefox 和 Chrome)的结果。

恶意广告

是利用在线广告传播恶意软件。 恶意广告涉及注入可以隐藏而不被发现的恶意代码。 用户不知道可能造成的潜在损害。 您可以从可信赖网站上的恶意广告中获取它。

勒索软件

这是一种恶意软件,旨在阻止对计算机系统的访问,直到支付一笔钱并解除阻止。 趋势科技研究人员最近发现了 FLocker 的更新版本,这是一种 Android 手机锁屏勒索软件,也能够锁定智能电视。 “FLocker 会试图说服你,你用你的电视做了一些非法的事情,并提出通过支付赎金让你摆脱它。 不像大多数勒索软件那样使用比特币:这个勒索软件需要价值 200 美元的 iTunes 礼品卡。”

硬件盗窃

被盗的笔记本电脑、硬盘驱动器等可能是不安全数据和信息的宝库。

利用意外释放

这些类别的风险包括数据泄露、数字资产处置不当以及其他事故或员工盗窃。

一旦他们可以访问数据,窃贼就会使用窃取的数据来:

  • 滥用他人身份
  • 实施金融欺诈——所有形式和类型
  • 使用窃取的信息实施更多犯罪
  • 洗钱
  • 冒充他人以进行跟踪和骚扰
  • 进行恐怖活动
  • 公司和其他类型的操纵

一旦发生,数据泄露会影响公司的方方面面,并直接影响许多职能领域,包括法律、财务、IT、营销、销售和服务。

你能做些什么来防止数据被盗?

没有什么能让你刀枪不入。 也就是说,您可以通过几个简单的步骤在保护您的品牌、您的客户以及最终您的声誉方面取得重大进展。

这是一个方便的待办事项列表供您查看:

  • 您关键的第一步:技术安全。 检查所有潜在的内部漏洞
  • 进行全面的风险评估以识别威胁、分析潜在危害并确定在发生违规时您将采取哪些合理的缓解措施
    • 了解法律环境
    • 实施符合法律问题的政策和程序
  • 更新您的防病毒技术,并保持更新
  • 培训您的员工,建立更安全的数据处理习惯和意识
  • 制定书面信息安全计划和事件响应
    • 定期审查计划以防范新的和不断发展的威胁
    • 清楚地了解您隔离和减轻威胁的计划
  • 要求您的供应商采用最佳安全实践
    • 将这些要求作为合同语言的一部分,并包括对违规行为的处罚
  • 将隐私作为企业采用的强制要求——创建一个数据泄露团队,并赋予其在必要时进行更改以确保安全的权力

有许多公司和组织提供数据泄露服务和信息。 Online Trust Alliance 提供了一些关于如何在网上保护自己的大量信息,并且还提供了一些关于数据泄露意识规划的深刻见解。

请记住,在我们的数字经济中,这不是“如果”的情况,而是“何时”会发生违规的情况。 正如担任思科 20 年首席执行官的约翰·钱伯斯所说:“有两种类型的公司:被黑客攻击的公司和不知道自己被黑客攻击的公司。”

干杯,

大卫