Минуло понад чотири роки відтоді, як ЄС запровадив свій новаторський Загальний регламент захисту даних. GDPR став зразком для законів про конфіденційність персональних даних у багатьох інших країнах, а також для Каліфорнійського закону про конфіденційність споживачів (CCPA), який набув чинності у 2020 році. Нові закони про конфіденційність даних мають набути чинності ще в чотирьох штатах США у 2023 році, і шість штатів активно працюють над законопроектами.
Але за чотири роки на федеральному рівні досягнуто незначного прогресу. В останньому обговорювальному проекті американського Закону про конфіденційність і захист даних, оприлюдненому 6 червня, є кілька невирішених питань, які, ймовірно, будуть стояти на заваді двопартійної підтримки. Ця відсутність федерального регулювання конфіденційності коштує компаніям США грошей, про що вони навіть не підозрюють.
Регуляторна невизначеність і відсутність єдиного стандарту відповідності це, очевидно, дорого, хоча суму може бути важко підрахувати. Менш очевидним, але більш піддається кількісному виміру, є вибух злочинів проти бізнесу, зокрема компрометації бізнес-електронної пошти (BEC) і програм-вимагачів. Ці злочини підживлюються широкою доступністю дуже детальних, законно зібраних персональних даних. Якщо уряд не діятиме, компаніям слід було б вжити заходів, щоб допомогти працівникам захистити свої особисті дані та, у процесі, захистити себе.
За оцінками дані з IC3, Центр розгляду скарг на злочини в Інтернеті ФБР, атаки BEC коштували компаніям 2.4 мільярда доларів у 2021 році, порівняно з $ 1.8 млрд. 2020. Крім того, вони перевершують усі інші види кіберзлочинності проти бізнесу, на них припадає 34% збитків у 2021 році від усіх видів кіберзлочинності. Схеми програм-вимагачів коштували компаніям 49 мільярдів доларів у 2021 році, каже IC3, що більш ніж удвічі $ 20 млрд. 2020.
Ці витрати відображають лише прямі збитки. Відповідно до дослідження від Ponemon Institute, вартість втрати продуктивності та відновлення скомпрометованих облікових даних і систем, пов’язаних із цими злочинами, може подвоїтися.
Робота вдома, де обчислювальне середовище менш безпечне, була фактор у зростанні цих злочинів. Але так само збільшився обсяг і різноманітність персональних даних, доступних в Інтернеті.
Дані підживлюють фішинг, яка є воротами для цих злочинів. Фішинг зазвичай здійснюється через електронну пошту, а також через текстові або миттєві повідомлення, соціальні мережі та навіть платформи для співпраці. Злочинці використовують дані, щоб видати себе за надійне джерело, що спілкується в одному з цих каналів, і переконати жертву натиснути на шкідливе посилання. Це може призвести до встановлення зловмисного програмного забезпечення або програм-вимагачів, а також до збору облікових даних для входу чи інших конфіденційних даних.
Фішинг для бізнесу
Це може мати руйнівні наслідки для окремих осіб, але фішингові атаки все частіше використовуються для доступу до державних і корпоративних систем. У 3 році IC323,972 отримав 2021 25,344 скарги на фішинг, порівняно з 2017 120 такими скаргами в XNUMX році — приголомшливе зростання на XNUMX%. Відповідно до «Індекс мобільної безпеки 2020» Verizon, 2% співробітників щодня переходять по фішинговому посиланню.
Отримавши доступ, зловмисники можуть ховатися всередині систем компанії, вивчаючи робочі процеси, відстежуючи комунікації та чекаючи нагоди. Скажімо, під час відпустки співробітник опублікував повідомлення в соціальних мережах. Це початок, на який чекав поганий актор. Вони заходять в обліковий запис електронної пошти працівника, який відпустку, який містить ланцюжок із відділом кредиторської заборгованості постачальника, де обговорюється оплата рахунка-фактури. Поганий актор додає ще одне повідомлення до ланцюжка: «Чи можете ви також оновити наш банківський рахунок і надіслати платіж на новий рахунок». Згідно зі звітом IC3, середній збиток від такої успішної атаки BEC у 120,000 році становив 2021 XNUMX доларів.
Брокери даних не допомагають
Фішинг стає дедалі ефективнішим через усі дані, які зловмисники мають налаштовувати свої комунікації. Їм навіть не потрібно красти дані. Вони можуть отримати його на будь-якому з приблизно 150 сайтів пошуку людей, що є сегментом індустрії брокерів даних, який зростає як за розміром, так і за типом інформації, яку вони збирають.
Ці сайти, які є значною мірою нерегульований, починався зі збору загальнодоступних даних, таких як імена, адреси та номери телефонів. Тепер вони збирають ще більше різноманітних даних, зібраних із значно більшої різноманітності джерел. За невелику місячну плату можна легко знайти таку інформацію, як політичні погляди особи, її харчові вподобання, домашні тварини та навіть список бажань людини на Amazon. І все це наразі законно.
Персональні дані є дуже чутливим інструментом, який використовують кіберзлочинці, щоб завдати реальної шкоди людям, чиї дані є загальнодоступними в Інтернеті. Але страждають не лише окремі люди. Заробітна плата від злочинів проти бізнесу може затьмарити доходи від злочинів проти окремих осіб, роблячи їх особливо привабливими цілями. Підприємства настільки безпечні, наскільки безпечні їхні працівники, найбільш вразливі до цифрових технологій.
Можуть пройти роки, перш ніж ми матимемо всеосяжне федеральне законодавство про захист конфіденційності даних. Ось чому організаційні зусилля щодо запобігання кіберзлочинам повинні включати роботу зі співробітниками щодо зменшення та видалення їх особистої інформації з Інтернету. Це ускладнить зловмисникам отримання даних співробітників, щоб використовувати їх у своїх атаках.
