Naravno, ova se povreda dogodila Starwoodu, a ne Marriottu. Ali najveći brend uvijek postane krvav u provali. Jeff Pollard i Enza Iannopollo iz Forrestera raspravljaju o utjecajima na GDPR, imidž robne marke i drugo.
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
Još jedan petak, još jedna najava kršenja
Marriott je objavio da je otkrio četiri i više godina prethodno nepoznatih, neočekivanih i neovlaštenih podataka kršenje koji uključuje podatke o putovanju, brojeve putovnica i podatke o kreditnoj kartici. Pet stotina milijuna kupaca saznalo je jutros kada je Marriott najavio višegodišnje kršenje koje datira iz 2014. Dugogodišnji nedostaci u Starwoodovoj bazi podataka i mrežnoj sigurnosti omogućili su napadačima da zarobe imena, adrese, datume rođenja, brojeve putovnica, komunikacijske preferencije, informacije o dolasku i odlasku, i više. Ukratko, iznimno vrijedna riznica podataka za napadače. Marriott je slijedio do sada poznatu najavu o kršenju podataka: ispričao se, obećao kupcima brine o sigurnosti, osigurao web stranicu i broj za poziv, a također ponudio kredit praćenje.
Due diligence u području kibernetičke sigurnosti diže svoju ružnu glavu
Ne možemo znati interne pojedinosti procesa dubinske analize akvizicije, ali temeljita dubinska analiza kibernetičke sigurnosti trebala bi označio je sigurnosne slabosti baze podataka i mreže koje su napadači - koji su tada boravili u Starwoodovoj mreži dvije godine -- iskorištavali. Strateška priroda aktivnosti spajanja i preuzimanja znači da problemi kibernetičke sigurnosti možda neće zaustaviti akviziciju, ali sigurno može sniziti cijenu i stvoriti prilike za arbitražu i prijenos rizika, kao što se vidi kod Verizona i Yahoo. Lekcija za izvršne direktore i CISO-e koji prolaze kroz spajanja i preuzimanja: nemojte štedjeti na dubinskoj provjeri kibernetičke sigurnosti.
Problem nadzora i ekonomije podataka
Kada tvrtke prikupljaju ogromne količine podataka u ime korisničkog iskustva, one također prihvaćaju obvezu i odgovornost zaštite tih podataka. U ovom slučaju, Starwood -- i Marriott, akvizicijom -- nisu ispunili tu odgovornost. Razmotrite sljedeće:
- Podaci o putnicima sada su u rukama barem jednog skupa napadača, a moguće i više njih. Putničke navike, odredišta, područja koja često posjećuju, željena vremena dolaska i još mnogo toga sada su vani bez njihovog pristanka. Četiri i više godina podataka o putovanjima 500 milijuna ljudi golemi je skup podataka koji podatkovni znanstvenik može koristiti za profiliranje ljudi. Tvrtke uključene u osjetljive industrije koje imaju povećane fizičke sigurnosne rizike morat će procijeniti kako to utječe na njihove tvrtke i njihove zaposlenike. Možda će morati promijeniti navike putovanja ili planove za ključne pojedince koji bi mogli biti uhvaćeni u ovu povredu.
- Postoje implikacije za nacionalnu sigurnost zbog brojeva putovnica i drugih detalja. Ova povreda ima velike posljedice na razini nacionalne države s obzirom na količinu i vrstu podataka kojima napadači pristupaju. Kad god su podaci iz putovnice dio kompromisa, morate uzeti u obzir moguće posljedice. Resursi u raznim agencijama diljem svijeta sada će morati pričekati da prime pojedinosti o čemu informacije koje su napadači prikupili i kako te informacije mogu ugroziti postojeće operacije ili imovina. Nadalje, obavještajne agencije diljem svijeta sada imaju pristup riznici informacija o putnicima iz protivničkih zemalja koje mogu koristiti za svoje operacije.
- U redu je kupiti ove podatke, samo ih ne ukrasti. Neovlašteno dijeljenje podataka čini tvrtke koje prodaju podatke nezadovoljnima. Ali sitni tisak aplikacija i promotivnih sustava za koje se prijavljujemo prisiljava većinu nas da pristanemo na prikupljanje i dijeljenje ovih podataka. Dok GDPR i drugi propisi nastoje osnažiti potrošače s pravom da isključe i budu zaboravljeni, nemaju svi koristi od te zaštite. U ovom slučaju, napadači su došli do podataka o korisnicima bez pristanka ili znanja Marriotta ili Starwooda, što postavlja važno pitanje: Što ako je Marriott namjeravao komercijalizirati te podatke? To bi značilo gubitak velike prilike za prihod.
Lekcija o robnoj marki: Najveća marka uvijek postane krvava u provali
Ova se povreda dogodila Starwoodu, a ne Marriottu. Zapravo, ako ste odsjeli samo u objektima Marriotta, niste pogođeni, ali mediji koji govore o ovoj povredi mnogo više spominju Marriott nego Starwood. To je lekcija za sve robne marke. Bilo da se radi o akviziciji, spajanju ili jednostavno o podružnici, najveća marka uvijek će privući najviše pažnje kada se objavi kršenje. Sav zamah i energija koju ima vaš brend bivaju skrenuti s puta kada dođe do kršenja - čak i ako se to nije dogodilo vama. Slijede neke druge ključne lekcije:
- Due diligence kibernetičke sigurnosti -- platite ranije ili plaćajte često. Za Marriott je cijena koju je platio za Starwood upravo porasla. Pravna pitanja, regulatorni problemi zbog GDPR-a (i još mnogo toga), usluge istrage i obavješćivanja o kršenju, radnje sanacije i troškovi odnosa s javnošću upravo su naglo porasli. Često spominjemo da proboji imaju dugačak rep, au ovom slučaju to je cijena koju je Marriott platio Starwood je daleko veći od onoga što je izvorno obećao dioničarima zbog ovog otkrića incident. Pouka za sve ovdje je dvojaka: dubinska analiza kibernetičke sigurnosti u spajanjima i preuzimanjima je od vitalnog značaja, a ako je ne platite u trenutku, sve će kasnije biti mnogo skuplje.
- Phishing je upravo postao lakši za napadače. Količina i vrsta podataka do kojih su došli napadači olakšat će i druge kompromise. Ako napadači znaju gdje putuju vaši zaposlenici, koliko često, s kim putuju i koliko su dugo tamo, onda su napadi napadača na phishing, spear phishing i društveni inženjering postali puno više uspješan. Vaši zaposlenici možda neće otvoriti e-poštu od ljudi koje ne poznaju, ali što je s e-poštom od hotela upravitelja koji im zahvaljuje što su nekoliko puta prošlih godinu dana s kuponom odsjeli u jednom od vaših poslovnih hotela u prilogu? Ovo će kršenje otežati zaštitu vaših zaposlenika.
- GDPR je sada prva stvar o kojoj tvrtke razmišljaju nakon kršenja. Nekoliko minuta nakon što je ovo kršenje objavljeno, svi su počeli razmatrati kako će se GDPR primjenjivati. Budući da je prošlo 72-satno razdoblje za obavijesti za GDPR i mnoge druge zakone o kršenju obavijesti (otkrio je kršenje 8. rujna), tvrtka se otvorila za više novčanih kazni od potrebno. No obavještavanje je samo jedan od njegovih problema. Tvrtka će se morati pozabaviti pitanjima o tome kako upravlja i upravlja osobnim podacima, uključujući politike zadržavanja i više.
Što to znači: Osnove obrane već su dobro poznate i jednostavne za implementaciju
Kao što je bio slučaj s gotovo svakom drugom mega-provalom u novijoj povijesti, metode koje su napadači koristili za iskorištavanje ovog sustava nisu bile čarobne niti pretjerano napredne. Osnovni sigurnosni protokoli baze podataka, dobra autentifikacija, minimiziranje bočnog pomicanja i razumijevanje kako strateški primijeniti tehnologiju učinili bi veliku razliku. Na primjer, ako je Marriott izgradio digitalni klon mreže za testiranje i sigurnosnu optimizaciju tijekom M&A due diligence faza, njihova konfiguracija bi bila zabilježena i eksploatacija bi mogla biti prekinuti.
-- Autori Jeff Pollard, glavni analitičar, i Enza Iannopollo, viša analitičarka
Za više o privatnosti i sigurnosti iz Forrestera kliknite ovdje.
Ovaj se post izvorno pojavio ovdje.
Ovo su najgori hakiranja, kibernetički napadi i povrede podataka u 2018
Prethodna i povezana izvješća:
Equifax je kažnjen s 500.000 funti zbog povrede korisničkih podataka
Da se sigurnosni incident dogodio nakon što je GDPR stupio na snagu, kazna bi mogla biti daleko veća.
Evo kako se provala u Equifax razlaže, u brojkama
Equifax je u regulatornoj prijavi naveo koliko je njegovih skupova podataka ukradeno u provali 2017.
Equifax je do sada potrošio 242,7 milijuna dolara na svoju povredu podataka
Potrošnja se više usmjerava prema sigurnosti podataka i IT sustavima. Equifax ima 125 milijuna dolara osiguranja kibernetičke sigurnosti s odbitkom od 7,5 milijuna dolara.
Hakeri su napravili 'glavni ključ' za milijune hotelskih soba
Novo istraživanje pokazuje kako hakeri mogu manipulirati ključevima hotelskih soba kako bi dobili pristup cijeloj zgradi.
Radisson Hotel Group trpi povredu podataka, podaci o klijentima procurili
Članovi sheme vjernosti Radisson Hotel Group su pogođeni i možda su im ukradeni osobni podaci.
Kineska policija istražuje veliko kršenje sigurnosti hotelske grupe
Vjeruje se da je kompromitirano oko 500 milijuna korisničkih podataka, uključujući podatke o 150 milijuna računa koji se trenutno prodaju na dark webu za 8 Bitcoina