Daugiau nei 90 procentų duomenų pažeidimų 2014 m. pirmąjį pusmetį buvo galima išvengti

  • Oct 17, 2023

„Online Trust Alliance“ teigia, kad didelę duomenų pažeidimų dalį lėmė personalo klaidos, o ne išorinis įsilaužimas.

1credit-cnet.jpg
CNET
Remiantis „Online Trust Alliance“, daugiau nei 90 procentų duomenų pažeidimų per pirmąjį 2014 m. pusmetį būtų buvę galima išvengti, jei įmonės pergalvotų savo rizikos kibernetines strategijas.

The Internetinis pasitikėjimo aljansas (OTA), ne pelno siekianti organizacija, skirta didinti pasitikėjimą internetu ir padėti įmonėms taikyti geriausią praktiką. ir rizikos vertinimas, išleido 2015 m. geriausios duomenų apsaugos praktikos ir rizikos vertinimo vadovus trečiadienį. Organizacija teigia, kad praėjusių metų sausio–birželio mėnesiais tik 40 procentų duomenų pažeidimų buvo susiję su asmeninių identifikuojamą informaciją (PII) sukėlė išoriniai įsibrovimai, o 29 proc. įvyko atsitiktinai arba piktybiškai. darbuotojų.

OTA teigia, kad dėl beveik 30 procentų įmonių patiriamų duomenų praradimo incidentų kaltas vidaus kontrolės trūkumas, pamesti ar pavogti įrenginiai ir dokumentai, taip pat socialinė inžinerija ir sukčiavimas.

OTA rizikos vertinimo vadove organizacija užduoda klausimus, kuriuos IT sprendimus priimantys asmenys turi užduoti sau, jei jie ketina įvertinti verslo praktikos riziką kibernetinėms grėsmėms. Šiuolaikinis verslas ne tik turi klausti, ar jo paties saugumo praktika yra iki nulio, bet ir ar trečiųjų šalių pardavėjai, pvz., esantys tiekimo grandinėje arba teikiantys IT paslaugas, kelia grėsmę saugumo.

Toliau pateikiami kai kurie klausimai, kuriuos korporacijos turi užduoti sau:

  • Ar suprantate tarptautinius ir vietinius reguliavimo reikalavimus ir privatumo direktyvas, konkrečiai susijusias su jūsų verslu, atsižvelgiant į kliento ar vartotojo gyvenamąją vietą?
  • Ar žinote konkrečius visų klientų duomenų atributus? Kaip ir kur šie duomenys saugomi, prižiūrimi, perduodami ir archyvuojami (įskaitant duomenis, kuriuos saugo arba apdoroja jūsų pardavėjai ir trečiosios šalies / debesies paslaugų teikėjai)?
  • Ar esate pasirengę bendrauti su darbuotojais, klientais, akcininkais ir žiniasklaida per duomenų praradimo incidentą?
  • Ar suprantate savo pardavėjų saugumo, privatumo ir pranešimų praktiką?
  • Ar turite atsako į duomenų pažeidimą tiekėją, kuris galėtų iškviesti ekspertus, kurie padėtų nustatyti pagrindinę pažeidimą, pažeidimo apimtį, rinkti grėsmės žvalgybos informaciją, įskaitant visus duomenis, kuriuos gali paveikti incidentas?

Perskaityk tai

Būtinos iOS, Android produktyvumo programos

Skaitykite dabar

Išanalizavusi daugiau nei tūkstantį pažeidimų, susijusių su AII, pelno nesiekianti organizacija sudarė 12 „kritinių“ saugos praktikų kitame vadove, kurį įmonės turėtų sekti, kad sumažintų kibernetinės atakos riziką, taip pat sumažintų galimą žalą grėsmės kraštovaizdyje, kuris tampa vis pavojingesnis dėl metų. OTA teigia, kad jei būtų laikomasi toliau išvardytos praktikos, 2014 m. įsilaužimas į įžymybių nuotraukas ir duomenų pažeidimai, kuriuos patyrė pagrindiniai JAV mažmenininkai, tokie kaip „Target“, galėjo neįvykti.

Apibendrinant, OTA rekomenduoja įmonei:

  1. Įgyvendina veiksmingą slaptažodžių valdymo politiką.
  2. Visoms vartotojų paskyroms leiskite veikti žemiausiu privilegiju ir prieigos lygiu.
  3. Padidinkite klientų įrenginius įdiegdami daugiasluoksnę ugniasienės apsaugą, antivirusinę programinę įrangą ir įsitikinkite, kad numatytieji vietoje bendrinami aplankai yra išjungti.
  4. Reguliariai atlikite įsiskverbimo testus ir pažeidžiamumo nuskaitymus.
  5. Reikalauti el. pašto autentifikavimo visiems gaunamiems ir siunčiamiems laiškams.
  6. Įdiegti mobiliųjų įrenginių valdymo sistemą.
  7. Stebėkite įmonės tinklo infrastruktūrą realiuoju laiku.
  8. Įdiekite žiniatinklio programas ir užkardas, kad aptiktumėte įprastas žiniatinklio atakas ir išvengtumėte jų.
  9. Leiskite tik įgaliotiems įrenginiams prisijungti prie belaidžių tinklų.
  10. Įdiekite serverių „Always On Secure Socket Layer“ (AOSSL) apsaugą.
  11. Dažnai peržiūrėkite serverio sertifikatus.
  12. Sukurkite, išbandykite ir patobulinkite reagavimo į duomenų pažeidimus planą.

Craigas Spiezle'as, OTA vykdomasis direktorius ir prezidentas, pakomentavo:

„Verslas yra priblokštas dėl didėjančios rizikos ir grėsmių, tačiau pernelyg dažnai nesilaiko saugumo pagrindų. Prieš Duomenų privatumo dieną paskelbus vadovus ir geriausios praktikos pavyzdžius, įmonėms bus suteikta naudingų patarimų. Kartu su kitais valdikliais jie gali padėti užkirsti kelią duomenų pažeidimams, juos aptikti, sulaikyti ir ištaisyti.

OTA vadovai turi būti pristatyti trijose būsimose OTA rotušėse Silicio slėnyje, Niujorke ir Vašingtone, kur dirbs vadovai ir lyderiai nuo FTB iki PayPal ir Twitter pateikti.

Skaitykite toliau: Saugumo pasaulyje

  • Botnetai 2014 m.: „ZeuS“ antplūdis, lėta politika kelia pavojų interneto vartotojams
  • FTC baigia apmokestinti „Snapchat“ dėl vartotojo privatumo
  • Šmėkla, bravūra ir pažeidimai: šiandieniniai „teroristai“ kibernetinio saugumo srityje
  • Piratai įsiskverbia į Baltųjų rūmų tinklą
  • „FireEye“ prognozės dėl kibernetinio saugumo 2015 m
  • Analizė verčia abejoti FTB pretenzijomis dėl „Tor“ svetainių konfiskavimo
  • Didelės apimties DDoS atakų padaugėja 2014 m. trečiąjį ketvirtį
  • „Apple iOS Masque“ trūkumų pavojai: aptiktas komunikacijos programų įsiskverbimas
  • JK samdo programišius, nuteistuosius ginti įmonių tinklus
  • ZeuS variantas veikia 150 bankų visame pasaulyje