Det er over fire år siden, at EU implementerede sin banebrydende generelle databeskyttelsesforordning. GDPR blev modellen for love om beskyttelse af personlige oplysninger i mange andre lande og for California Consumer Privacy Act (CCPA), som trådte i kraft i 2020. Nye databeskyttelseslove skal træde i kraft i yderligere fire amerikanske stater i 2023, og seks stater arbejder aktivt på lovforslag.
Men på fire år er der kun sket få fremskridt på føderalt plan. Det seneste udkast til den amerikanske databeskyttelseslov, der blev udgivet den 6. juni, har flere uløste problemer, som sandsynligvis vil stå i vejen af bipartisk støtte. Denne mangel på føderal privatlivsregulering koster amerikanske virksomheder penge på måder, de ikke engang er klar over.
Regelmæssig usikkerhed og mangel på en enkelt overholdelsesstandard er naturligvis dyrt, selvom beløbet kan være svært at kvantificere. Hvad der er mindre indlysende, men mere kvantificerbart, er eksplosionen i forbrydelser mod virksomheder, især business email compromise (BEC) og ransomware. Disse forbrydelser bliver drevet af den udbredte tilgængelighed af meget detaljerede, lovligt indsamlede personlige data. Hvis regeringen ikke vil handle, ville det påhvile virksomheder at tage skridt til at hjælpe medarbejderne med at beskytte deres personlige data og i processen beskytte sig selv.
Ifølge data fra IC3, FBI's Internet Crime Complaint Center, kostede BEC-angreb virksomheder 2.4 milliarder dollars i 2021, op fra $ 1.8 milliarder i 2020. Desuden overskygger de alle andre former for cyberkriminalitet mod virksomheder, og de tegner sig for 34 % af 2021-tabene fra alle typer cyberkriminalitet. Ransomware-ordninger koster virksomhederne 49 milliarder dollars i 2021, siger IC3, mere end en fordobling fra $ 20 milliarder i 2020.
Disse omkostninger afspejler kun direkte tab. Ifølge forskning fra Ponemon Institute, omkostningerne ved tab af produktivitet og afhjælpning af kompromitterede legitimationsoplysninger og systemer forbundet med disse forbrydelser kan mere end fordoble tabet.
At arbejde hjemmefra, hvor computermiljøer er mindre sikre, har været en faktor i stigningen i disse forbrydelser. Men det samme er stigningen i mængden og variationen af personlige data, der er tilgængelige på internettet.
Data giver næring til phishing, som er indgangen til disse forbrydelser. Phishing foregår typisk via e-mail, men også via sms eller instant messaging, sociale medier og endda samarbejdsplatforme. Kriminelle bruger data til at udgive sig for at være en pålidelig kilde, der kommunikerer i en af disse kanaler og overbevise offeret til at klikke på et ondsindet link. Det kan føre til installation af malware eller ransomware, såvel som indsamling af login-legitimationsoplysninger eller andre følsomme data.
Phishing for erhvervslivet
Dette kan have ødelæggende konsekvenser for enkeltpersoner, men phishing-angreb bliver i stigende grad brugt til at få adgang til regerings- og virksomhedssystemer. IC3 modtog 323,972 phishing-klager i 2021, op fra 25,344 sådanne klager i 2017 - en forbløffende stigning på 120 %. Ifølge Verizons "2020 Mobile Security Index," 2 % af medarbejderne klikker på et phishing-link hver dag.
Når de først får adgang, kan dårlige aktører lure inde i virksomhedens systemer, studere arbejdsgange, overvåge kommunikation og vente på en mulighed. Lad os sige, at en medarbejder poster på sociale medier, mens han er på ferie. Det er åbningen en dårlig skuespiller har ventet på. De hopper ind på feriemedarbejderens e-mail-konto, som indeholder en tråd med en leverandørs kreditorafdeling, der diskuterer betaling af en faktura. Den dårlige skuespiller tilføjer endnu en besked til tråden: "Kan du også opdatere vores bankkonto og sende betalingen til den nye konto." Ifølge IC3-rapporten var det gennemsnitlige tab for et vellykket BEC-angreb som dette $120,000 i 2021.
Datamæglere hjælper ikke
Phishing bliver stadig mere effektivt på grund af alle de data, kriminelle har for at tilpasse deres kommunikation. De behøver ikke engang at stjæle dataene. De kan få det på et hvilket som helst af omkring 150 personers søgesider, som er et segment af datamæglerindustrien, der er vokset både i størrelse og i den type information, de indsamler.
Disse websteder, som er stort set ureguleret, startede med at indsamle offentligt tilgængelige data, såsom navne, adresser og telefonnumre. Nu indsamler de en endnu bredere vifte af data hentet fra en meget bredere vifte af kilder. Oplysninger såsom en persons politiske synspunkter, kostpræferencer, kæledyr og endda en persons Amazon-ønskeliste kan nemt findes for et lille månedligt abonnementsgebyr. Og det hele er i øjeblikket lovligt.
Personlige data er et meget følsomt værktøj, som cyberkriminelle bruger til at forårsage reel skade på personer, hvis data er offentligt tilgængelige på internettet. Men det er ikke kun enkeltpersoner, der lider. Lønningsdagen fra forbrydelser mod virksomheder kan dværge gevinsterne fra forbrydelser mod enkeltpersoner, hvilket gør dem til særligt attraktive mål. Virksomheder er kun så sikre som deres mest digitalt sårbare medarbejdere.
Der kan gå år, før vi har omfattende føderal lovgivning til beskyttelse af databeskyttelse. Derfor skal den organisatoriske indsats for at forebygge cyberkriminalitet omfatte samarbejde med medarbejdere om at reducere og fjerne deres personlige oplysninger fra internettet. Det vil gøre det sværere for ondsindede aktører at få medarbejderdata til at udnytte i deres angreb.
