ธุรกิจในสหรัฐอเมริกาประสบปัญหาการขาดกฎหมายความเป็นส่วนตัวของข้อมูลส่วนบุคคลอย่างไร

เป็นเวลากว่าสี่ปีแล้วที่สหภาพยุโรปได้ใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค GDPR ได้กลายเป็นต้นแบบของกฎหมายความเป็นส่วนตัวของข้อมูลส่วนบุคคลในหลายประเทศ และสำหรับกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) ซึ่งมีผลบังคับใช้ในปี 2020 กฎหมายความเป็นส่วนตัวของข้อมูลใหม่ มีกำหนดมีผลบังคับใช้ในอีก 2023 รัฐของสหรัฐอเมริกาในปี XNUMX และอีก XNUMX รัฐกำลังดำเนินการด้านกฎหมายอย่างแข็งขัน

แต่ในเวลาสี่ปี มีความคืบหน้าเพียงเล็กน้อยในระดับรัฐบาลกลาง ร่างการสนทนาล่าสุดของ American Data Privacy and Protection Act ซึ่งเผยแพร่เมื่อวันที่ 6 มิถุนายน มีปัญหาที่ยังไม่ได้แก้ไขหลายประการที่มีแนวโน้มว่า ขวางทาง ของการสนับสนุนทั้งสองฝ่าย การขาดกฎระเบียบด้านความเป็นส่วนตัวของรัฐบาลกลางนี้ทำให้ธุรกิจในสหรัฐฯ ต้องเสียเงินในรูปแบบที่พวกเขาไม่รู้ตัวด้วยซ้ำ

ความไม่แน่นอนของกฎระเบียบและ ขาดมาตรฐานการปฏิบัติตามมาตรฐานเดียว เห็นได้ชัดว่ามีค่าใช้จ่ายสูง แม้ว่าจำนวนเงินอาจเป็นเรื่องยากที่จะหาปริมาณได้ สิ่งที่ไม่ชัดเจนแต่สามารถวัดผลได้คือการระเบิดของอาชญากรรมต่อธุรกิจ โดยเฉพาะการประนีประนอมอีเมลทางธุรกิจ (BEC) และแรนซัมแวร์ อาชญากรรมเหล่านี้เกิดจากความพร้อมใช้งานของข้อมูลส่วนบุคคลที่รวบรวมอย่างละเอียดและถูกกฎหมายอย่างแพร่หลาย หากรัฐบาลไม่ดำเนินการ ธุรกิจต่างๆ จะต้องดำเนินการเพื่อช่วยให้พนักงานปกป้องข้อมูลส่วนบุคคลของตน และในระหว่างนี้ ก็ต้องปกป้องตนเอง

ตามที่ ข้อมูลจาก IC3ศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของเอฟบีไอ การโจมตีบีอีซีทำให้ธุรกิจมีมูลค่า 2.4 พันล้านดอลลาร์ในปี 2021 เพิ่มขึ้นจาก $ พันล้านดอลลาร์ใน 1.8 2020. ยิ่งกว่านั้น พวกเขายังดูถูกอาชญากรรมทางไซเบอร์ประเภทอื่นๆ ต่อธุรกิจ โดยคิดเป็น 34% ของการสูญเสียในปี 2021 จากอาชญากรรมไซเบอร์ทุกประเภท แผนการแรนซัมแวร์ทำให้ธุรกิจมีมูลค่า 49 พันล้านดอลลาร์ในปี 2021 IC3 กล่าว เพิ่มขึ้นกว่าเท่าตัวจาก $ พันล้านดอลลาร์ใน 20 2020.

ค่าใช้จ่ายเหล่านั้นสะท้อนถึงความสูญเสียโดยตรงเท่านั้น ตาม งานวิจัยจากสถาบันโพเนม่อนต้นทุนของการสูญเสียผลิตภาพและการแก้ไขข้อมูลประจำตัวที่ถูกบุกรุกและระบบที่เกี่ยวข้องกับอาชญากรรมเหล่านี้สามารถเพิ่มแท็บได้มากกว่าสองเท่า

การทำงานจากที่บ้านซึ่งสภาพแวดล้อมการใช้คอมพิวเตอร์มีความปลอดภัยน้อยกว่า ปัจจัย ในการก่ออาชญากรรมเหล่านี้ แต่จำนวนและความหลากหลายของข้อมูลส่วนบุคคลที่มีอยู่บนอินเทอร์เน็ตก็เพิ่มขึ้นเช่นกัน

ข้อมูลเชื้อเพลิงฟิชชิ่งซึ่งเป็นประตูสู่อาชญากรรมเหล่านี้ โดยทั่วไปฟิชชิ่งจะทำผ่านอีเมล แต่ยังผ่านข้อความหรือข้อความโต้ตอบแบบทันที โซเชียลมีเดีย และแม้แต่แพลตฟอร์มการทำงานร่วมกัน อาชญากรใช้ข้อมูลเพื่อปลอมแปลงเป็นแหล่งที่เชื่อถือได้ในการสื่อสารในช่องทางใดช่องทางหนึ่งเหล่านี้ และโน้มน้าวให้เหยื่อคลิกลิงก์ที่เป็นอันตราย ที่อาจนำไปสู่การติดตั้งมัลแวร์หรือแรนซัมแวร์ รวมถึงการรวบรวมข้อมูลรับรองการเข้าสู่ระบบหรือข้อมูลที่ละเอียดอ่อนอื่นๆ

ฟิชชิ่งสำหรับธุรกิจ

สิ่งนี้สามารถส่งผลร้ายแรงต่อบุคคล แต่การโจมตีแบบฟิชชิงมีการใช้มากขึ้นเพื่อเข้าสู่ระบบของรัฐบาลและองค์กร IC3 ได้รับการร้องเรียนฟิชชิ่ง 323,972 ครั้งในปี 2021 เพิ่มขึ้นจาก 25,344 ข้อร้องเรียนดังกล่าวในปี 2017 ซึ่งเพิ่มขึ้นอย่างน่าทึ่งถึง 120% ตาม "ดัชนีความปลอดภัยมือถือปี 2020" ของ Verizon 2% ของพนักงานคลิกลิงก์ฟิชชิ่งทุกวัน

เมื่อเข้าถึงได้ ผู้ไม่หวังดีสามารถแฝงตัวอยู่ในระบบของบริษัท ศึกษาเวิร์กโฟลว์ ตรวจสอบการสื่อสาร และรอโอกาส สมมติว่าพนักงานโพสต์บนโซเชียลมีเดียในช่วงวันหยุดพักร้อน นั่นคือการเปิดตัวที่นักแสดงตัวร้ายรอคอย พวกเขาเข้าไปในบัญชีอีเมลของพนักงานที่ลาพักร้อนซึ่งมีชุดข้อความที่มีแผนกบัญชีเจ้าหนี้ของผู้ขายพูดคุยเกี่ยวกับการชำระเงินตามใบแจ้งหนี้ ผู้กระทำผิดเพิ่มข้อความอื่นในเธรด: “คุณช่วยอัปเดตบัญชีธนาคารของเราและส่งการชำระเงินไปยังบัญชีใหม่ด้วยได้ไหม” ตามรายงานของ IC3 การสูญเสียโดยเฉลี่ยสำหรับการโจมตี BEC ที่ประสบความสำเร็จเช่นนี้คือ 120,000 ดอลลาร์ในปี 2021

นายหน้าข้อมูลไม่ช่วย

ฟิชชิ่งมีประสิทธิภาพมากขึ้นเรื่อย ๆ เนื่องจากอาชญากรข้อมูลทั้งหมดต้องปรับแต่งการสื่อสารของตน พวกเขาไม่จำเป็นต้องขโมยข้อมูลด้วยซ้ำ พวกเขาสามารถหาได้จากไซต์ค้นหาบุคคลประมาณ 150 คน ซึ่งเป็นกลุ่มของอุตสาหกรรมนายหน้าข้อมูลที่มีการเติบโตทั้งในด้านขนาดและประเภทของข้อมูลที่พวกเขารวบรวม

เว็บไซต์เหล่านี้ซึ่งได้แก่ ส่วนใหญ่ไม่มีการควบคุมเริ่มต้นจากการรวบรวมข้อมูลที่เปิดเผยต่อสาธารณะ เช่น ชื่อ ที่อยู่ และหมายเลขโทรศัพท์ ตอนนี้พวกเขารวบรวมข้อมูลที่หลากหลายยิ่งขึ้นซึ่งรวบรวมมาจากแหล่งที่หลากหลายมากขึ้น ข้อมูลต่างๆ เช่น มุมมองทางการเมืองของบุคคล ความชอบด้านอาหาร สัตว์เลี้ยง และแม้แต่รายการสินค้าที่ต้องการใน Amazon ของบุคคลนั้น สามารถพบได้ง่ายโดยมีค่าธรรมเนียมการสมัครสมาชิกรายเดือนเพียงเล็กน้อย และขณะนี้ทั้งหมดถูกกฎหมาย

ข้อมูลส่วนบุคคลเป็นเครื่องมือที่มีความละเอียดอ่อนมากที่อาชญากรไซเบอร์ใช้เพื่อก่อให้เกิดอันตรายอย่างแท้จริงต่อผู้ที่มีข้อมูลเปิดเผยต่อสาธารณะบนอินเทอร์เน็ต แต่ไม่ใช่แค่บุคคลที่ต้องทนทุกข์ วันจ่ายเงินเดือนจากการก่ออาชญากรรมต่อธุรกิจสามารถบดบังผลกำไรจากการก่ออาชญากรรมต่อบุคคล ทำให้พวกเขาตกเป็นเป้าหมายที่น่าดึงดูดเป็นพิเศษ ธุรกิจมีความปลอดภัยเท่ากับพนักงานที่มีความเสี่ยงด้านดิจิทัลมากที่สุดเท่านั้น

อาจต้องใช้เวลาหลายปีกว่าที่เราจะมีกฎหมายของรัฐบาลกลางที่ครอบคลุมเพื่อปกป้องความเป็นส่วนตัวของข้อมูล นั่นคือเหตุผลที่ความพยายามขององค์กรในการป้องกันอาชญากรรมทางอินเทอร์เน็ตต้องรวมถึงการทำงานร่วมกับพนักงานเพื่อลดและลบข้อมูลส่วนบุคคลออกจากอินเทอร์เน็ต ซึ่งจะทำให้ผู้กระทำผิดได้รับข้อมูลพนักงานเพื่อใช้ประโยชน์จากการโจมตีได้ยากขึ้น