Elbette bu ihlal Marriott'un değil Starwood'un başına geldi. Ancak en büyük marka her zaman bir ihlalde kana bulanır. Forrester'dan Jeff Pollard ve Enza Iannopollo GDPR'nin, marka imajının ve daha fazlasının üzerindeki etkilerini tartışıyor.
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?
Bir Cuma Daha, Bir İhlal Duyurusu Daha
Marriott, önceden bilinmeyen, beklenmeyen ve izin verilmeyen verileri dört yıldan fazla bir süre boyunca ortaya çıkardığını duyurdu çiğneme seyahat ayrıntılarını, pasaport numaralarını ve kredi kartı verilerini içerir. Beş yüz milyon müşteri bu sabah, Marriott'un 2014'e kadar uzanan çok yıllık bir ihlali duyurmasından haberdar oldu. Starwood'un veri tabanında ve ağ güvenliğinde uzun süredir devam eden kusurlar, saldırganların isimleri ele geçirmesine olanak tanıdı. adresleri, doğum tarihleri, pasaport numaraları, iletişim tercihleri, geliş ve gidiş bilgileri, ve dahası. Kısacası saldırganlar için son derece değerli bir veri hazinesi. Marriott artık tanıdık olan veri ihlali duyurusu taktik kitabını takip etti: özür diledi, söz verdi Müşterilerine güvenliğe önem veriyor, bir web sitesi ve aranacak numara sağladı ve ayrıca kredi teklif etti izleme.
Siber Güvenlik Birleşme ve Satın Alma Durum Tespiti Çirkin Kafasını Yükseltiyor
Satın alma durum tespiti sürecinin dahili ayrıntılarını bilemiyoruz ancak kapsamlı bir siber güvenlik durum tespiti çalışması yapılması gerekir. Saldırganların (o zamana kadar iki yıl boyunca Starwood ağında ikamet eden) veritabanı ve ağ güvenliği zayıflıklarını işaretledi. sömürülen. Birleşme ve satın alma faaliyetinin stratejik doğası, siber güvenlik sorunlarının bir satın almayı durdurmayabileceği anlamına gelir, ancak bunlar Verizon'da görüldüğü gibi kesinlikle fiyatı düşürebilir ve arbitraj ve risk aktarımı fırsatları yaratabilir ve Yahoo. Birleşme ve Devralma sürecinden geçen CEO'lar ve CISO'lar için ders: Siber güvenlik durum tespiti konusunda eksik kalmayın.
Gözetim ve Veri Ekonomisi Sorunu
Şirketler, müşteri deneyimi adına devasa miktarda veri toplarken, bu verileri koruma yükümlülüğünü ve sorumluluğunu da kabul etmiş oluyorlar. Bu durumda Starwood ve Marriott satın alma yoluyla bu sorumluluğu yerine getiremedi. Aşağıdakileri göz önünde bulundur:
- Gezginlerin verileri artık en az bir saldırganın, muhtemelen daha fazlasının elinde. Gezginlerin alışkanlıkları, destinasyonları, sık ziyaret ettiği bölgeler, tercih ettiği varış saatleri ve daha fazlası artık onların rızası olmadan ortalıkta dolaşıyor. 500 milyon kişiye ait dört yılı aşkın seyahat verileri, bir veri bilimcinin insanların profilini çıkarmak için kullanabileceği çok büyük bir veri kümesidir. Fiziksel güvenlik risklerinin yüksek olduğu hassas endüstrilerde yer alan şirketlerin, bunun kendi firmalarını ve çalışanlarını nasıl etkileyeceğini değerlendirmesi gerekecektir. Bu ihlale maruz kalabilecek kilit kişilerin seyahat alışkanlıklarını veya planlarını değiştirmeleri gerekebilir.
- Pasaport numaraları ve diğer ayrıntılar nedeniyle ulusal güvenlik açısından tehlikeler bulunmaktadır. Saldırganların eriştiği veri miktarı ve türü göz önüne alındığında, bu ihlalin ulus devlet düzeyinde önemli sonuçları var. Pasaport verilerinin bir uzlaşmanın parçası olduğu her durumda, olası sonuçları hesaba katmalısınız. Dünyanın çeşitli yerlerindeki çeşitli kurumlardaki kaynakların artık ne olduğuna dair ayrıntıları almak için beklemesi gerekecek. bilgilerin saldırganlar tarafından toplandığı ve bu bilgilerin mevcut operasyonları nasıl tehlikeye atabileceği veya varlıklar. Dahası, dünya çapındaki istihbarat teşkilatları artık düşman ülkelerden gelen gezginler hakkında kendi operasyonlarında kullanılabilecek bir bilgi hazinesine erişime sahip.
- Bu verileri satın almak sorun değil, sadece çalmak değil. Yetkisiz veri paylaşımı, veri satan şirketleri mutsuz ediyor. Ancak kaydolduğumuz uygulama ve promosyon sistemlerinin ayrıntılı baskısı çoğumuzu bu verilerin toplanmasına ve paylaşılmasına izin vermeye zorluyor. GDPR ve diğer düzenlemeler tüketicilere kapsam dışında kalma ve unutulma hakkı tanımayı amaçlasa da herkes bu korumalardan yararlanamamaktadır. Bu durumda saldırganlar, Marriott'un veya Starwood'un izni veya bilgisi olmadan müşteri verilerini elde etti ve bu da önemli bir soruyu gündeme getiriyor: Peki ya Marriott bu verileri ticarileştirmeyi amaçladıysa? Bu, büyük bir gelir fırsatının kaybedilmesi anlamına gelir.
Marka Dersi: En Büyük Marka Bir İhlalde Her Zaman Kana Bulanır
Bu ihlal Marriott'un değil Starwood'un başına geldi. Aslında, yalnızca Marriott mülklerinde kaldıysanız etkilenmezsiniz, ancak bu ihlalden bahseden medya, Starwood'dan çok Marriott'tan çok daha fazla bahsediyor. Bu her marka için bir derstir. İster bir satın alma, ister birleşme, ister sadece bir yan kuruluş olsun, bir ihlal duyurulduğunda her zaman en büyük marka en fazla dikkati çekecektir. Bir ihlal meydana geldiğinde markanızın sahip olduğu tüm ivme ve enerji, bu sizin başınıza gelmemiş olsa bile, boşa gider. Diğer bazı önemli dersler şöyle:
- Siber güvenlik durum tespiti – erken ödeyin veya sık sık ödeyin. Marriott'un Starwood için ödediği bedel çok arttı. Yasal sorunlar, GDPR'den kaynaklanan düzenleme sorunları (ve daha fazlası), ihlal soruşturması ve bildirim hizmetleri, iyileştirme eylemleri ve halkla ilişkiler maliyetleri hızla arttı. İhlallerin uzun bir kuyruğu olduğunu ve bu durumda Marriott'un ödediği bedeli sık sık dile getiriyoruz. Starwood, bunun keşfi nedeniyle hissedarlara başlangıçta vaat ettiğinden çok daha yüksek olay. Buradan herkes için alınacak ders iki yönlü: Birleşme ve satın almalarda siber güvenlik durum tespiti hayati önem taşıyor ve bunun için zamanında ödeme yapmamak, daha sonra her şeyi çok daha pahalı hale getirecek.
- Kimlik avı saldırganlar için artık daha kolay. Saldırganların elde ettiği veri miktarı ve türü, diğer saldırıları da kolaylaştıracak. Saldırganlar çalışanlarınızın nereye, ne sıklıkta seyahat ettiğini, kiminle seyahat ettiğini ve orada ne kadar süre kaldıklarını biliyorsa, daha sonra bu saldırganların kimlik avı, hedef odaklı kimlik avı ve sosyal mühendislik saldırıları çok daha fazla hale geldi başarılı. Çalışanlarınız tanımadıkları kişilerden gelen e-postaları açamayabilir ama otelden gelen e-postalara ne dersiniz? yöneticinin geçen yıl kurumsal otellerinizden birinde birkaç kez kaldıkları için kuponla teşekkür etmesi ekli? Bu ihlal çalışanlarınızı korumayı zorlaştıracaktır.
- Artık şirketlerin bir ihlalden sonra ilk düşündüğü şey GDPR oluyor. Bu ihlalin duyurulmasından birkaç dakika sonra herkes GDPR'nin nasıl uygulanacağını düşünmeye başladı. GDPR ve diğer birçok ihlal bildirimi kanunu için 72 saatlik bildirim penceresi çoktan geçtiğinden (İhlali 8 Eylül'de fark etti), şirket daha fazla para cezasına maruz kaldı gerekli. Ancak bildirim sorunlarından yalnızca bir tanesidir. Şirketin, saklama politikaları ve daha fazlası dahil olmak üzere kişisel verileri nasıl yönettiği ve idare ettiği hakkındaki soruları ele alması gerekecektir.
Ne Anlama Geliyor: Savunmanın Temelleri Zaten İyi Biliniyor ve Uygulaması Kolay
Yakın tarihteki hemen hemen tüm büyük ihlallerde olduğu gibi, saldırganların bu sistemi istismar etmek için kullandıkları yöntemler sihirli ya da aşırı derecede gelişmiş değildi. Temel veritabanı güvenlik protokolleri, iyi kimlik doğrulama, yanal hareketin en aza indirilmesi ve teknolojinin stratejik olarak nasıl uygulanacağının anlaşılması büyük bir fark yaratabilirdi. Örneğin, Marriott, test ve güvenlik optimizasyonu için bir ağın dijital klonunu Birleşme ve satın alma durum tespiti aşamasında, konfigürasyonları not edilirdi ve istismar kesintiye uğradı.
-- Yazan: Jeff Pollard, baş analist ve Enza Iannopollo, kıdemli analist
Forrester'ın gizliliği ve güvenliği hakkında daha fazla bilgi için tıklayın Burada.
Bu yazı ilk olarak ortaya çıktı Burada.
Bunlar 2018'in en kötü hack'leri, siber saldırıları ve veri ihlalleri
Önceki ve ilgili kapsam:
Equifax, müşteri verilerinin ihlali nedeniyle 500.000 £ para cezasına çarptırıldı
Güvenlik olayı GDPR devreye girdikten sonra gerçekleşmiş olsaydı, ceza çok daha yüksek olabilirdi.
Equifax ihlali rakamlara göre şöyle:
Equifax, düzenleyici bir dosyada 2017'deki bir ihlalde veri setlerinin ne kadarının çalındığını söyledi.
Equifax şu ana kadar veri ihlaline 242,7 milyon dolar harcadı
Harcamalar daha çok veri güvenliği ve BT sistemlerine doğru kayıyor. Equifax'ın siber güvenlik sigortasında 7,5 milyon dolar muafiyetle 125 milyon dolar bulunuyor.
Bilgisayar korsanları milyonlarca otel odası için 'ana anahtar' oluşturdu
Yeni araştırmalar, bilgisayar korsanlarının tüm binaya erişim sağlamak için otel odası anahtar kartlarını nasıl değiştirebileceğini gösteriyor.
Radisson Hotel Group veri ihlaline maruz kaldı, müşteri bilgileri sızdırıldı
Radisson Hotel Group sadakat programı üyeleri bu durumdan etkileniyor ve kişisel bilgileri çalınmış olabilir.
Çin polisi otel grubundaki büyük güvenlik ihlalini araştırıyor
Şu anda karanlık ağda 8 Bitcoin karşılığında satılan 150 milyon hesap da dahil olmak üzere yaklaşık 500 milyon parça müşteri verisinin ele geçirildiğine inanılıyor