Minęły ponad cztery lata, odkąd UE wdrożyła przełomowe ogólne rozporządzenie o ochronie danych. RODO stało się wzorem dla przepisów o ochronie danych osobowych w wielu innych krajach, a także dla California Consumer Privacy Act (CCPA), która weszła w życie w 2020 roku. Nowe przepisy dotyczące prywatności danych mają wejść w życie w czterech kolejnych stanach USA w 2023 r., a sześć stanów aktywnie pracuje nad ustawami.
Jednak w ciągu czterech lat na szczeblu federalnym poczyniono niewielkie postępy. Najnowszy projekt dyskusyjny amerykańskiej ustawy o prywatności i ochronie danych, opublikowany 6 czerwca, zawiera kilka nierozwiązanych kwestii, które prawdopodobnie będą stać w przejściu ponadpartyjnego wsparcia. Ten brak federalnych przepisów dotyczących prywatności kosztuje amerykańskie przedsiębiorstwa pieniądze w sposób, z którego nawet nie zdają sobie sprawy.
Niepewność regulacyjna i brak jednego standardu zgodności jest oczywiście kosztowna, chociaż jej oszacowanie może być trudne. Mniej oczywista, ale bardziej wymierna jest eksplozja przestępstw przeciwko firmom, w szczególności w zakresie włamywania się na pocztę biznesową (BEC) i oprogramowania ransomware. Przestępstwa te są napędzane przez powszechną dostępność bardzo szczegółowych, legalnie gromadzonych danych osobowych. Jeśli rząd nie podejmie działań, firmy będą musiały podjąć kroki, aby pomóc pracownikom chronić ich dane osobowe, a tym samym chronić siebie.
Zgodnie z dane z IC3, Internet Crime Complaint Center FBI, ataki BEC kosztowały firmy 2.4 miliarda dolarów w 2021 roku, w porównaniu z $ 1.8 mld 2020. Co więcej, przyćmiewają one wszystkie inne rodzaje cyberprzestępczości przeciwko firmom, odpowiadając za 34% strat w 2021 r. ze wszystkich rodzajów cyberprzestępczości. Według IC49 systemy ransomware kosztowały firmy 2021 miliardów dolarów w 3 r., ponad dwukrotnie więcej niż $ 20 mld 2020.
Koszty te odzwierciedlają jedynie bezpośrednie straty. Według badania z Instytutu Ponemon, koszt utraty produktywności i naprawy złamanych danych uwierzytelniających i systemów związanych z tymi przestępstwami może ponad dwukrotnie przewyższyć.
Praca w domu, gdzie środowiska komputerowe są mniej bezpieczne, była: czynnik wzrost tych przestępstw. Ale wraz ze wzrostem ilości i różnorodności danych osobowych dostępnych w Internecie.
Dane napędzają phishing, który jest bramą dla tych przestępstw. Wyłudzanie informacji zazwyczaj odbywa się za pośrednictwem poczty e-mail, ale także wiadomości tekstowych lub komunikatorów, mediów społecznościowych, a nawet platform współpracy. Przestępcy wykorzystują dane, aby podszywać się pod zaufane źródło komunikujące się w jednym z tych kanałów i przekonywać ofiarę do kliknięcia złośliwego łącza. Może to prowadzić do instalacji złośliwego oprogramowania lub oprogramowania ransomware, a także gromadzenia danych logowania lub innych poufnych danych.
Phishing dla firm
Może to mieć katastrofalne skutki dla osób fizycznych, ale ataki phishingowe są coraz częściej wykorzystywane w celu uzyskania dostępu do systemów rządowych i korporacyjnych. IC3 otrzymał 323,972 2021 skargi dotyczące phishingu w 25,344 r., w porównaniu z 2017 120 takimi skargami w XNUMX r. — oszałamiający wzrost o XNUMX%. Według „Indeks bezpieczeństwa urządzeń mobilnych 2020” firmy Verizon 2% pracowników codziennie klika łącze phishingowe.
Po uzyskaniu dostępu źli aktorzy mogą czaić się w systemach firmy, badając przepływy pracy, monitorując komunikację i czekając na okazję. Załóżmy, że pracownik publikuje posty w mediach społecznościowych podczas urlopu. To otwarcie, na które czekał zły aktor. Wskakują na konto e-mail urlopującego pracownika, które zawiera wątek z działem rozliczeń dostawcy, omawiającym płatność faktury. Zły aktor dodaje kolejną wiadomość do wątku: „Czy możesz również zaktualizować nasze konto bankowe i przesłać płatność na nowe konto”. Według raportu IC3, średnia strata dla takiego udanego ataku BEC wyniosła 120,000 2021 $ w XNUMX roku.
Brokerzy danych nie pomagają
Phishing staje się coraz bardziej skuteczny ze względu na to, że przestępcy muszą dostosować swoją komunikację do swoich potrzeb. Nie muszą nawet kraść danych. Mogą je uzyskać w dowolnej z około 150 witryn wyszukiwania osób, która jest segmentem branży brokerów danych, która rośnie zarówno pod względem rozmiaru, jak i rodzaju gromadzonych informacji.
Te strony, które są w dużej mierze nieuregulowane, rozpoczęło się od zbierania publicznie dostępnych danych, takich jak nazwiska, adresy i numery telefonów. Teraz zbierają jeszcze większą różnorodność danych zebranych z dużo szerszej gamy źródeł. Informacje, takie jak poglądy polityczne danej osoby, preferencje żywieniowe, zwierzęta domowe, a nawet lista życzeń danej osoby na Amazon, można łatwo znaleźć za niewielką miesięczną opłatą abonamentową. I to wszystko jest obecnie legalne.
Dane osobowe to bardzo wrażliwe narzędzie wykorzystywane przez cyberprzestępców do wyrządzania realnych szkód osobom, których dane są publicznie dostępne w Internecie. Ale nie tylko jednostki cierpią. Wypłaty z przestępstw przeciwko przedsiębiorstwom mogą przyćmić zyski z przestępstw przeciwko osobom fizycznym, co czyni je szczególnie atrakcyjnymi celami. Firmy są tak bezpieczne, jak ich najbardziej wrażliwi cyfrowo pracownicy.
Mogą minąć lata, zanim będziemy mieli kompleksowe przepisy federalne dotyczące ochrony prywatności danych. Dlatego wysiłki organizacyjne mające na celu zapobieganie cyberprzestępczości muszą obejmować współpracę z pracownikami w celu zmniejszenia i usunięcia ich danych osobowych z Internetu. Utrudni to złośliwym cyberprzestępcom uzyskanie danych pracowników w celu wykorzystania ich w swoich atakach.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
