Saken för obligatoriska uppgifter om överträdelse av uppgifter om upplysningar
NyheterI år har vi sett en lång lista över organisationer som har utsatts för dataöverträdelser. Det finns alltid viktiga lärdomar att lära av sådana händelser, och i den här artikeln tar vi en närmare titt på två brott som inträffade i två veckor i augusti. Namnlösa: Brottet mot eBay: s biljettförsäljningswebbplats StubHub, och online bookmakers Paddy Power.
I första hand, och typiskt för nästan alla brott, vilka föreningar är både den personligt identifierbara informationen stulen - inklusive enskilda kundnamn, användarnamn, adresser, e-postadresser, telefonnummer och födelsedatum.
En överträdelse leder till en annan
Men det som skiljer sig från StubHub-överträdelsen är att denna kompromiss inte berodde på att företagets servrar gick under attack, men att hackarna hade använt inloggningsuppgifter och lösenord som erhölls från tidigare attacker för att få tillgång till nätet. Det har förekommit många varningar om att personuppgifter i en heist kan användas för att utforma andra, mer förödande socialt konstruerade cyberattacker, och detta brott var en bekräftelse på en sådan eventuell situation.
Detta är också en av anledningarna till att den senaste uppenbarelsen att en rysk hackinggrupp påstås ha samlat 1,2 miljarder användarnamn och lösenord är så signifikant. Den svarta marknaden trivs på denna typ av data.
När det gäller Paddy Power avslöjade den irländska bookmakern att cirka 649 000 kunder drabbades av ett brott som ägde rum under 2010. Med tanke på att det tog nästan fyra år innan evenemanget kom fram, har det varit möjligt för andra cyber- attacker har blivit lanserade med Paddy Power kunddata under tiden. Den betydande mängd tid det tog för detaljer om händelsen som skulle släppas är dock inte så sällan en händelse som du kanske tror: Australiens dagliga erbjudandenssida Dagens fångst meddelade nyligen sina kunder ett brott att det upplevde tre år tidigare.
Överensstämmelse överväganden
Ur ett överensstämmelsesperspektiv kompletterar båda dessa fall ytterligare behovet av att omklassificera all data som "känslig" och lägga till mer vikt i mandatet för strängare överträdelsemeddelanden. Det har funnits en växande trend mot anmälan om personuppgiftsbrott i Europa - till exempel har Tyskland och Irland båda infört strängare nationella krav på anmälan om överträdelse av uppgifter än de som anges i det nuvarande direktivet om e-sekretess.
Eftersom det senaste utkastet till den föreslagna EU: s databeskyddsbestämmelse föreskriver att datainsamlare är skyldiga att meddela den relevanta sekretessregleringsmyndigheten om ett brott inom en 72-timmarsperiod måste företag över hela linjen vara redo att svara på överträdelseolyckor mycket snabbare, eller drabbas av de negativa konsekvenserna.
I kampen mot cyberbrottslighet betonar behovet av obligatoriska lagar om överträdelse av upplysningar inte bara de faror som ställs för det internationella samfundets säkerhet, men fungerar också som en avgörande påminnelse för företag som ligger till grund för ett effektivt dataskydd.
Stora påföljder
En annan anledning att komma ihåg är att andra föreslagna ändringar av lagen hotar att höja bötesbeloppet för brutna företag från 2% till 5% av företagets globala årliga omsättning - vilket innebär att bristande tillräcklig säkerhetsinformation ger en mycket allvarlig operativ risk för organisationer som håller personuppgifter i sin vård och som reglerna gäller. Cybercrime är en mycket sofistikerad och destruktiv branschinriktad organisation av alla former och storlekar, som kan skada varumärken och resultera i smärtsamma överensstämmelseböter.
Att dataöverträdelser fortsätter att göra rubriker bekräftar att företagen fortfarande är mycket riktade mot kunddata. Som sådana måste organisationer börja värdera känsligheten av informationen de samlar in. För företag som vill hålla sig ur rubrikerna med bottenlinjen och konsumenternas förtroende intakta och se till att de har lämpliga datasäkerhetslösningar på plats, t.ex. kryptering och åtkomstkontroll, är det viktigt att säkerhetsinformation är viktigt.
Endast genom att göra det kommer ett företag att varna för ovanligt eller avvikande användarbeteende och nätverksåtkomst när och när det händer, vilket kan indikera en extern attack eller en skadlig insider. Det är viktigt att komma ihåg att förutom de många bedrägerier, opportunister, hacktivister och organiserad brottslighet syndikat där ute, kan betrodda "insiders" presentera så mycket risk för data som någon annan.
- Paul Ayers är VP EMEA på Vormetric.