Este ano, vimos uma longa lista de organizações que sofreram violações de dados. Sempre há lições importantes para aprender com esses eventos, e neste artigo, vamos dar uma olhada em duas brechas que ocorreram no espaço de quinze dias em agosto. Nomeadamente, a violação do site de venda de bilhetes do eBay, StubHub, e as casas de apostas on-line Paddy Power.

Em primeira instância, e típico de quase todas as violações, o que une é que as informações pessoais identificáveis ​​foram roubadas - incluindo nomes de clientes individuais, nomes de usuário, endereços, endereços de e-mail, números de telefone e datas de nascimento.

Uma violação leva a outra

Mas o que distingue a violação do StubHub é que esse compromisso não foi resultado do ataque dos servidores da empresa, mas que os hackers usaram detalhes de login e senhas obtidos de ataques anteriores para obter acesso à rede. Houve inúmeros avisos de que dados pessoais prendidos em um assalto podem ser usados ​​para projetar outros ciberataques de engenharia social mais insidiosos, e essa violação foi a confirmação de tal eventualidade..

Esta é também uma das razões pelas quais a recente revelação de que um grupo de hackers russos supostamente acumulou 1,2 bilhão de nomes de usuários e senhas é tão significativa. O mercado negro prospera neste tipo de dados.

No caso da Paddy Power, a casa de apostas irlandesa revelou que cerca de 649.000 clientes foram afetados por uma violação ocorrida em 2010. Tendo em conta que demorou quase quatro anos para o evento vir à luz, tem havido o potencial para outros cyber- ataques foram lançados com os dados do cliente da Paddy Power enquanto isso. No entanto, a quantidade significativa de tempo que levou para detalhes do incidente a ser lançado não é uma ocorrência tão rara quanto você imagina: o site australiano Catch of the Day notificou recentemente seus clientes sobre uma violação que sofreu três anos antes..

Considerações de conformidade

Do ponto de vista da conformidade, ambos os casos adicionam mais urgência à necessidade de reclassificar todos os dados como "sensíveis" e adicionar mais peso ao mandato para leis de notificação de violação mais rigorosas. Tem havido uma tendência crescente de notificação de violação de dados pessoais na Europa - por exemplo, a Alemanha e a Irlanda introduziram requisitos de notificação de violação de dados nacionais mais rigorosos do que os previstos na atual Diretiva de Privacidade Eletrônica..

Dado que a proposta mais recente da proposta de Regulamento de Proteção de Dados da UE estipula que os responsáveis ​​pelo tratamento de dados são obrigados a notificar o regulador de privacidade de uma violação dentro de um período de 72 horas, as empresas precisam estar prontas para responder a incidentes de violação muito mais rapidamente. ou enfrentar as consequências adversas.

Na luta contra o crime cibernético, a necessidade de leis obrigatórias de notificação de violação de dados não apenas enfatiza os perigos à segurança da comunidade internacional, mas também atua como um lembrete crucial para as empresas de que o ônus de proteção efetiva de dados reside nelas..

Grandes penalidades

Outro ponto a ter em mente é que outras alterações propostas à lei ameaçam aumentar as multas máximas para empresas violadas de 2% para 5% do faturamento anual global da empresa - o que significa que a falha em proteger adequadamente os dados apresenta um risco operacional muito severo. organizações que mantêm os dados pessoais sob seus cuidados e às quais os regulamentos se aplicam. O cibercrime é uma indústria altamente sofisticada e destrutiva direcionada a organizações de todas as formas e tamanhos, capaz de danificar marcas e resultar em dolorosas penalidades de conformidade..

O fato de que os incidentes de violação de dados continuam a fazer manchetes confirma que as empresas ainda estão sendo muito segmentadas para os dados do cliente. Como tal, as organizações devem começar a valorizar a sensibilidade das informações coletadas. Para as empresas que desejam ficar de fora das manchetes com a linha de fundo e a confiança do consumidor intactas, garantir que elas tenham soluções de segurança de dados adequadas, como criptografia e controles de acesso, juntamente com inteligência de segurança é essencial.

Somente ao fazê-lo, uma empresa será alertada sobre o comportamento incomum ou anômalo do usuário e o acesso à rede quando e quando isso acontecer, o que pode indicar um ataque externo ou um insider malicioso. É importante lembrar que, além do grande número de fraudadores, oportunistas, hacktivistas e organizações do crime organizado, os 'insiders' confiáveis ​​podem apresentar tanto risco aos dados quanto qualquer outra pessoa..

  • Paul Ayers é VP EMEA na Vormetric.