Dit jaar hebben we een lange lijst gezien van organisaties die gegevensinbreuken hebben geleden. Er zijn altijd belangrijke lessen te leren van dergelijke evenementen, en in dit artikel zullen we twee inbreuken die plaatsvonden in de loop van veertien dagen terug in augustus, eens nader bekijken. Namelijk, de overtreding van de kaartverkoopwebsite van eBay StubHub en online bookmakers Paddy Power.

In eerste instantie, en kenmerkend voor bijna elke inbreuk, wat beide verenigt, is dat persoonlijk identificeerbare informatie werd gestolen - inclusief individuele klantnamen, gebruikersnamen, adressen, e-mailadressen, telefooncontactnummers en geboortedata.

De ene breuk leidt naar de andere

Maar wat de StubHub-breuk onderscheidt, is dat dit compromis niet het gevolg was van de servers van het bedrijf die onder vuur kwamen te liggen, maar dat de hackers inloggegevens en wachtwoorden hadden gebruikt die waren verkregen uit eerdere aanvallen om toegang tot het netwerk te krijgen. Er zijn talloze waarschuwingen geweest dat persoonlijke gegevens die in één overval zijn terechtgekomen, kunnen worden gebruikt voor het ontwerpen van andere, meer verraderlijke, sociaal ontworpen cyberaanvallen, en deze schending was de bevestiging van een dergelijke mogelijkheid.

Dit is ook een van de redenen waarom de recente onthulling dat een Russische hackgroep naar verluidt 1,2 miljard gebruikersnamen en wachtwoorden heeft vergaard, zo belangrijk is. De zwarte markt gedijt op dit soort gegevens.

In het geval van Paddy Power onthulde de Ierse bookmaker dat ongeveer 649.000 klanten werden getroffen door een overtreding die plaatsvond in 2010. Gezien het feit dat het bijna vier jaar duurde voordat het evenement aan het licht kwam, was er het potentieel voor andere cybercrises. aanvallen die in de tussentijd zijn gestart met Paddy Power-klantgegevens. De aanzienlijke hoeveelheid tijd die nodig was om het incident vrij te geven, is echter niet zo zeldzaam als u zou denken: de website van Catch of the Day heeft de klanten onlangs op de hoogte gebracht van een overtreding die drie jaar eerder plaatsvond.

Overwegingen bij compliance

Vanuit het oogpunt van naleving voegen beide gevallen een nog grotere urgentie toe aan de noodzaak om alle gegevens opnieuw in te delen als 'gevoelig' en meer gewicht toe te kennen aan het mandaat voor strengere meldingswetten. Er is in toenemende mate sprake van een melding van schending van persoonsgegevens in Europa - Duitsland en Ierland hebben bijvoorbeeld zowel strengere nationale meldingsvereisten voor datalekken ingevoerd dan die waarin de huidige e-privacyrichtlijn voorziet.

Aangezien de meest recente versie van de voorgestelde EU-gegevensbeschermingsverordening bepaalt dat gegevenscontroleurs verplicht zijn de relevante privacytoezichthouder binnen 72 uur op de hoogte te stellen van een inbreuk, moeten bedrijven over de hele linie bereid zijn om veel sneller te reageren op inbreukincidenten, of geconfronteerd met de nadelige gevolgen.

In de strijd tegen cybercriminaliteit benadrukt de noodzaak van verplichte meldingswetten niet alleen de gevaren voor de veiligheid van de internationale gemeenschap, maar fungeert het ook als een cruciale herinnering aan bedrijven dat het leggen van effectieve gegevensbescherming bij hen ligt.

Grote straffen

Een ander punt dat in gedachten moet worden gehouden, is dat andere voorgestelde wetswijzigingen de maximale boetes voor geschonden ondernemingen dreigen te verhogen van 2% tot 5% van de wereldwijde jaaromzet van het bedrijf - wat betekent dat het niet adequaat beveiligen van gegevens een zeer ernstig operationeel risico inhoudt voor organisaties die persoonlijke gegevens onder hun hoede hebben en waarop de voorschriften van toepassing zijn. Cybercrime is een zeer geavanceerde en destructieve industrie die zich richt op organisaties van alle soorten en maten, die in staat zijn om merken te beschadigen en die resulteren in pijnlijke boetes voor naleving.

Het feit dat inbreuken op datalekken nog steeds de krantenkoppen halen, bevestigt dat bedrijven nog steeds zeer gericht zijn op klantgegevens. Als zodanig moeten organisaties de waarde van de gevoeligheid van de informatie die ze verzamelen gaan waarderen. Voor bedrijven die uit de krantenkoppen willen blijven, met behoud van het vertrouwen en het vertrouwen van de consument, moet ervoor worden gezorgd dat ze over passende gegevensbeveiligingsoplossingen beschikken, zoals encryptie en toegangscontroles, in combinatie met beveiligingsinformatie..

Alleen door dit te doen, wordt een bedrijf gewaarschuwd voor ongebruikelijk of abnormaal gebruikersgedrag en toegang tot het netwerk als en wanneer het gebeurt, wat kan duiden op een externe aanval of een kwaadwillende insider. Het is belangrijk om niet te vergeten dat, afgezien van de vele fraudeurs, opportunisten, hacktivisten en georganiseerde misdaadsyndicaten, vertrouwde insiders een even groot risico voor de gegevens kunnen vormen als iedereen.

  • Paul Ayers is VP EMEA op Vormetric.