Jak organizacje powinny radzić sobie z naruszeniami danych?

akerzy i cyberprzestępcy polegają na tym, że konsumenci i firmy nie są w stanie odpowiednio się chronić. Słabe hasła, luki w oprogramowaniu i systemach, narażone wrażliwe informacje. Wszystko to może doprowadzić do naruszenia bezpieczeństwa kont i danych. Wyniki ankiety przeprowadzonej na stronie z poradami bezpieczeństwa ujawniają, w jaki sposób konsumenci narażają się na ryzyko, a porady CMO Ryana McGonagilla wyjaśniają, co firmy mogą zrobić w przypadku naruszenia.

Zobacz także: Integracja programów, czyli API vs RODO

Aby sprawdzić, w jaki sposób ludzie uzyskują dostęp do swoich pieniędzy online, Security.org przeprowadziła ankietę wśród ponad 1000 osób korzystających z usług finansowych w Internecie. Wśród respondentów 46% stwierdziło, że używa tych samych haseł do niektórych lub wszystkich swoich kont internetowych (w tym bankowości i mediów społecznościowych). Ponadto 25% przyznało, że nigdy nie zmienia haseł do bankowości internetowej.

Przeprowadzanie transakcji finansowych za pośrednictwem publicznego hotspotu Wi-Fi to zły pomysł, ponieważ są one zwykle mniej bezpieczne niż prywatne sieci chronione hasłem. Jednak około 25% ankietowanych stwierdziło, że uzyskało dostęp do swoich kont bankowych w publicznej sieci Wi-Fi. Kolejne 28% stwierdziło, że korzysta z kart kredytowych lub debetowych w publicznej sieci Wi-Fi. Wśród respondentów, którzy uzyskują dostęp do prywatnych informacji w sieciach publicznych, 38% stwierdziło, że nie korzystało z oprogramowania antywirusowego, a 71% stwierdziło, że nie korzystało z VPN.

Niezastosowanie odpowiedniego bezpieczeństwa lub właściwego osądu może narazić konsumentów na naruszenie danych. Około 25% osób, które twierdziły, że były narażone na naruszenie, przyznało się do zapisywania informacji o karcie kredytowej na swoich urządzeniach osobistych. Ponadto 29% stwierdziło, że uzyskało dostęp do swoich kont bankowych z urządzenia, które nie było ich własnym.

„Jako konsument może być trudny do uniknięcia masowych naruszeń danych i prób włamań do korporacji przechowujących dane osobowe”, powiedział Security.org w swoim raporcie z ankiety. „Rok 2018 był drugim najbardziej aktywnym rokiem pod względem naruszeń danych na świecie , ale wielu Amerykanów może pogorszyć sytuację, nie chroniąc odpowiednio informacji o swoich kontach bankowych. Jak się przekonaliśmy, wiele osób nie zmieniało swoich haseł regularnie, a wielu z nich korzystało z tego samego hasła do różnych kont. Nawet wśród osób, które były narażone na naruszenia danych, wielu wykazywało ryzykowne zachowania w zakresie publicznych sieci Wi-Fi i przechowywania informacji o karcie kredytowej na swoich urządzeniach. ”

Konsumenci mogą lepiej się chronić, używając bezpiecznych i różnych haseł, prawdopodobnie z pomocą menedżera haseł . Mogą uniknąć prowadzenia działalności finansowej w publicznych sieciach Wi-Fi. Mogą też korzystać z odpowiedniego oprogramowania zabezpieczającego i sieci VPN, aby lepiej się chronić.

Organizacje, które nie są w stanie odpowiednio się chronić, są również narażone na naruszenia danych. W takich przypadkach nie jest to konieczne, ale wtedy, gdy może nastąpić naruszenie. A sposób, w jaki organizacja radzi sobie z naruszeniem, może być równie krytyczny jak ochrona przed nim. Aby pomóc organizacjom lepiej reagować na naruszenia danych, Ryan McGonagill, CMO dla Security.org, oferuje następujące porady:
„W przypadku naruszenia danych ważne jest, aby nie wpadać w panikę, zebrać zespół i sformułować obliczone podejście” – powiedziała McGonagill. „W zależności od wielkości firmy i charakteru naruszenia danych może to wymagać zaangażowania zespołu kryminalistyki danych, radcy prawnego, HR, komunikacji, inwestora i public relations itd.”

Wskazówki dotyczące zapobiegania
• Podejmij trzyetapowe podejście . FTC doradza firmom, aby reagowały na naruszenia danych w trzech aspektach. Cele są następujące: 1) zabezpieczyć systemy firmy, 2) naprawić luki, które mogły spowodować naruszenie, aby zapobiec dalszym atakom, oraz 3) powiadomić odpowiednie strony.
• Bezpieczne obszary fizyczne . Po zebraniu zespołu kryminalistycznego firmy powinny zabezpieczyć fizyczne obszary, które mogą być związane z naruszeniem i zmienić kody dostępu, a następnie usunąć sprzęt potencjalnie dotknięty.
• Sprawdź swoją witrynę . Jeśli naruszenie danych wiąże się z niepoprawnie opublikowanymi danymi osobowymi, firmy będą musiały przejrzeć własną stronę internetową i inne strony internetowe pod kątem jakichkolwiek danych zagrażających bezpieczeństwu i natychmiast je usunąć.
• Wywiad z właściwymi ludźmi . Prowadząc wewnętrzne dochodzenie, firmy muszą zadbać o to, aby przesłuchać osoby, które odkryły naruszenie, i upewnić się, że pracownicy wiedzą, gdzie mogą podać informacje, które mogą pomóc w dochodzeniu.
• Współpracuj z ekspertami kryminalistycznymi . Aby naprawić luki w zabezpieczeniach firmy, niezbędna jest współpraca z ekspertami kryminalistycznymi w celu zapewnienia właściwej segmentacji sieci, poznania zakresu, na który ma to wpływ, oraz postępowanie zgodnie z ich zaleceniami dotyczącymi usuwania luk.
• Utwórz odpowiedni plan . Wreszcie, firmy muszą opracować kompleksowy i odpowiedzialny plan komunikacji dla wszystkich zainteresowanych stron, w tym organów ścigania, innych zainteresowanych firm i osób fizycznych – takich jak pracownicy firmy, inwestorzy, partnerzy itp.

„Gdy dojdzie do naruszenia danych, najlepszym rozwiązaniem jest jasne określenie, jak to się stało, w jaki sposób można temu zaradzić oraz co mogą zrobić osoby poszkodowane, aby uchronić się przed potencjalnymi szkodami” – powiedziała McGonagill.