Från genomförandet av generaldirektivet (GDPR) i maj, som i grunden ändrade regelboken för att lagra uppgifter om EU-medborgare åtminstone till Butlins hack, har 2018 varit ett mycket viktigt år för cybersäkerhet.

En av de största förändringarna fokuserade på insyn, särskilt när företag tvingades avslöja inom 72 timmar om de har lidit ett brott. Medan USA har haft denna typ av politik för ett tag, var företagen i EU inte skyldiga att offentligt ange när ett brott inträffade och lämnade dem fria att behålla betydande nyheter så här från sina kunder. Men nu har saker och ting förändrats, och det börjar bli värme i EU.

  • Vi har också markerat det bästa antivirusprogrammet

En finansiell träff

Det första som någon tänker på när man tar hänsyn till kostnaden för något är hur kan man beräkna det i monetärt värde. Fram till nu har det varit svårt att fastställa den exakta kostnaden för en dataöverträdelse, eftersom många företag inte är för villiga att avslöja de pengar de har spenderat, städa upp roten efter att ha blivit slagna eller att försäljningsminskningarna minskar. Det finns några indikationer men det kan hjälpa till att ge en vägledning. Studier som det årliga Ponemon-institutets kostnad för en databrottrapport syftar till att måla en tydligare bild - vilket indikerar att den genomsnittliga kostnaden för närvarande är $ 3,62 miljoner globalt ($ 141 för varje data) och upp till $ 7,35 miljoner i USA.

Det kan dock betraktas som genomsnittet, med några finansiella träffar som är mycket större. Enligt sitt senaste SEC-arkiv har Equifax spenderat 242,7 miljoner dollar och räknat sedan dess överträdelse, vilket avslöjade känsliga finansiella och personliga uppgifter om nästan 148 miljoner av sina kunder. För att lägga till lite mer kontext till detta, ägde Equifax nästan lika mycket på bara sju månader, eftersom Target (252 miljoner dollar) gjorde i två år efter dess datatranskning 2013. Det är en stor hit i botten för att helt enkelt lämna konsumentdata okrypterade och ute i det öppna för hackare att helt enkelt gå upp och ta.

När vi flyttar framåt bör vi börja se en tydligare bild av de konkreta ekonomiska kostnaderna för ett dataöverträdande genom lagstiftning som GDPR, som kan böda företag upp till 4% av deras globala omsättning, om de befinner sig i överträdelse.

Den rykteffekten

Såväl som företag som lider av en tydlig finansiell träff har transparensaspekten i GDPR ökat möjligheterna för företagen att även drabbas av rykte. När konsumenterna blir mer medvetna om det ökande antalet överträdelser där ute, börjar de förstå att de har makten i relationen, särskilt med GDPR som möjliggör punkter som "rätt att bli glömd".

Företagen måste inse att om de bryts, kommer konsumenterna helt enkelt att gå till ett annat varumärke som de anser vara säkrare. Ta fallet med TalkTalk som ett bra exempel. Efter sin välkända dataöverträdelse förlorade företaget cirka 100 000 kunder, som helt enkelt ansåg att de inte kunde lita på att verksamheten skulle hålla sina uppgifter säkra. I det här fallet måste VD också gå ner, en växande konsekvens som börjar utvecklas med ledande befattningshavare, vanligtvis i bränsleledningen när ett brott uppstår.

Det är inte bara en rykte med kunder som också kan påverka ett företag. Yahoo! var tvungen att sänka sitt pris med 350 miljoner dollar för förvärvet av Verizon, efter att det led ett stort brott som drabbade miljontals.

Mitigering av riskerna och kostnaderna för ett brott

Så, med reglering gör sakerna mer genomskinliga och medierubriker gör konsumenterna mer medvetna, hur kan företag undvika att vara nästa Equifax eller TalkTalk?

Det enkla svaret är att det måste finnas en förändring av tankesätt när det gäller säkerhet i näringslivet. Företag kan inte längre anta en "det kommer inte att hända med oss" eller "min omkrets kan inte brytas" mentalitet. Fokus måste vara att säkra de mest känsliga data som ett företag har i sin kärna. Alltför många företag försöker säkra utsidan och lämna uppgifterna, vilket betyder att om en hacker skulle bryta in, kan de nästan hjälpa sig själva. Kryptera data i vila och i rörelse, hantera säkert krypteringsnycklarna och lagra dem säkert, samtidigt som du hanterar och kontrollerar användaråtkomst, är viktiga steg för företagen att vidta för att skydda sig själva.

Med nästan alla affärer som använder molnet och den fortsatta utvecklingen av IoT har företagen aldrig haft sådana möjligheter att växa, men med det kommer en ökad attackyta att försvara sig mot. Genom att implementera lösningarna som kryptering kan företagen i huvudsak anta det som kallas en "säker överträdelse" -strategi, där om de attackeras kan deras data inte nås.

Att investera i den här strategin går framåt är det enda sättet att företagen kan skydda sig mot de ekonomiska och ansvarsfullt drabbade följderna som ses oftare nu. Den verkliga kostnaden för en dataöverträdelse kan fortfarande vara uppe i luften och variera beroende på verksamheten, men företag bör inte löpa risken att ta reda på vad det kostar dem.

Jason Hart, CTO för dataskydd vid Gemalto

  • Blivit hackad? Det här är vad man ska göra nästa