I år har vi sett en lang liste over organisasjoner som har hatt databrudd. Det er alltid viktige leksjoner å lære av slike hendelser, og i denne artikkelen tar vi nærmere titt på to brudd som skjedde i løpet av fjorten dager tilbake i august. Nemlig brudd på eBays billettsalgssted StubHub, og online bookmakere Paddy Power.

I første omgang, og typisk for nesten alle brudd, hva forener begge er den personidentifiserbare informasjonen blitt stjålet - inkludert individuelle kundenavn, brukernavn, adresser, e-postadresser, telefonnummer og fødselsdato.

Et brudd fører til en annen

Men det som skiller StubHub-bruddet er at dette kompromisset ikke var et resultat av at selskapets servere kom under angrep, men at hackerne hadde brukt innloggingsdetaljer og passord hentet fra tidligere angrep for å få tilgang til nettverket. Det har vært mange advarsler om at personopplysninger i en heist kan brukes til å designe andre, mer lumske sosialt konstruerte cyberangrep, og dette bruddet var en bekreftelse på en slik eventualitet.

Dette er også en av grunnene til at den siste åpenbaringen at en russisk hackinggruppe angivelig har samlet 1,2 milliarder brukernavn og passord, er så viktig. Det svarte markedet trives på denne typen data.

I tilfelle av Paddy Power avslørte den irske bookmakeren at noen 649 000 kunder ble rammet av et brudd som fant sted i 2010. Da det tok nesten fire år for hendelsen å komme til lys, har det vært potensial for andre cyber- angrep på å ha blitt lansert med Paddy Power kundedata i mellomtiden. Men den betydelige mengden tid det tok for detaljer om hendelsen som ble utgitt, er ikke like sjelden en forekomst som du kanskje tror: Australske daglige tilbudssiden Catch of the Day har nylig meldt sine kunder om brudd på at det opplevde tre år tidligere.

Overensstemmelseshensyn

Fra et overordnet synspunkt legger begge disse sakene ytterligere krav til behovet for å omklassifisere alle data som "sensitive" og legge til mer vekt på mandatet for strengere bruddvarsel. Det har vært en økende trend mot brudd på personopplysninger i Europa - for eksempel har Tyskland og Irland begge innført strengere nasjonale data bruddvarslingskrav enn de som er gitt i henhold til gjeldende e-personvernsdirektiv.

Gitt at det siste utkastet til den foreslåtte EU-databeskyttelsesforskriften fastsetter at datakontrollanter er forpliktet til å varsle den relevante personvernregulatoren om brudd på en 72-timers periode, må bedrifter over hele linjen være klar til å reagere på bruddhendelser mye raskere, eller møte de negative konsekvensene.

I kampen mot nettkriminalitet vektlegger behovet for obligatoriske bruddvarslingslover ikke bare farene som stilles til sikkerheten til det internasjonale samfunn, men fungerer også som en viktig påminnelse for bedrifter som ligger til grunn for effektiv databeskyttelse med dem.

Store straffer

Et annet poeng å huske på er at andre foreslåtte endringer i loven truer med å øke maksimalt bøter for brudd på virksomheter fra 2% til 5% av selskapets globale årlige omsetning - noe som betyr at manglende tilstrekkelig sikker data gir en meget alvorlig operasjonell risiko for organisasjoner som har personopplysninger i deres omsorg, og som forskriftene gjelder. Cybercrime er en svært sofistikert og destruktiv bransjemålrettet organisasjon av alle former og størrelser, som kan skade merker og resultere i smertefulle etterlevelsestraff.

Det faktum at data brudd hendelser fortsetter å lage overskrifter bekrefter at bedrifter fortsatt er veldig mye målrettet for kundedata. Som sådan må organisasjoner begynne å verdsette verdien av følsomheten til informasjonen de samler inn. For bedrifter som ønsker å holde seg ute av overskriftene med bunnlinjen og forbrukertillit intakt, og sørge for at de har passende datasikkerhetsløsninger på plass, som kryptering og tilgangskontroll, er det i tillegg til sikkerhetsinformasjon viktig.

Bare ved å gjøre det, vil en bedrift bli varslet til uvanlig eller uregelmessig brukeradferd og nettverkstilgang når og når det skjer, noe som kan indikere et eksternt angrep eller en ondsinnet insider. Det er viktig å huske at bortsett fra flåten av svindlere, opportunister, hacktivister og organisert kriminalitet syndikater der ute, kan betrodde innsidere presentere så mye av en risiko for data som noen andre.

  • Paul Ayers er VP EMEA på Vormetric.