A közelmúltban történt, nagy nyilvánosságot kapott adatvédelmi incidensek miatt a kiberbiztonság minden CIO figyelmének előterébe került. Különösen most, hogy sokan dolgoznak távolról, a vállalatok soha nem látott mértékű fenyegetettséggel néznek szembe.
Mivel világszerte ennyi szervezetet érintettek a biztonsági sérülések, nem meglepő, hogy az amerikai távközlési felügyelet, az FCC szerint a digitális információsértés most a leggyakrabban bejelentett csalási forma. Minden olyan vállalkozásnak, amely bármilyen minőségben használja az internetet, olyan biztonsági kultúrát kell kialakítania, amely növeli a fogyasztók bizalmát. A valóság az, hogy ezek a kiberbiztonsági incidensek egyre nagyobb hatást gyakorolnak, mivel alapvető szolgáltatásokat érintenek, beleértve az üzemanyagforgalmazástól az egészségügyi ellátásig mindent.
Mi történik egy kiberbiztonsági incidens után?
Senki sem immunis a kibertámadásokkal szemben. Ezek a kisebb induló vállalkozásokkal, amelyeknek nincs biztonsági protokoljuk, éppúgy megtörténhetnek, mint a nagyobb cégekkel, amelyek azt állítják, hogy jól felkészültek egy ilyen támadásra.
A Sony részvényei például 2011 áprilisában komoly és sokáig ható csapást szenvedtek el, amikor hackerek ellopták a PlayStation Network 100 millió felhasználójának adatait. Míg a Sony azóta talpra tudott állni, néhány vállalat nem ilyen szerencsés.
A The Heritage Company nevű amerikai telemarketingcéget 2019-ben érte zsarolóvírus-támadás, amely kénytelen volt bezárni a kapuit, és több száz ember maradt munkanélküli. Hasonlóképpen, a Wood Ranch Medical is csődbe ment 2019-ben, miután egy biztonsági incidens kizárta őket az ügyfelek adataiból, és a rendszereket olyannyira megfertőzte, hogy nem volt visszaút.
Vannak azonban olyan cégek is, amelyek a Sonyhoz hasonlóan vissza tudtak térni egy súlyos kibertámadás után. A több mint 120 éve működő Equifax hitelinformációs ügynökség a kiváló példa egy olyan brandre, amely nem hagyta, hogy egy kiberbiztonsági incidens megállítsa.
Még 2017-ben hatoltak be hackerek a rendszereikbe, és ellopták több mint 147 millió amerikai személy személyes és pénzügyi adatait, köztük társadalombiztosítási számokat, lakcímeket, jogosítványszámokat és hitelkártyaszámokat.
Az Equifax incidenst az ellopott információk jellege miatt az eddigi legsúlyosabb vállalati adatsérülésnek tartják az Egyesült Államokban. A cég 2019-ben "beleegyezett, hogy legalább 575 millió, de potenciálisan akár 700 millió dollár kártérítést fizet a Szövetségi Kereskedelmi Bizottsággal, a Fogyasztók Pénzügyi Védelmi Hivatalával valamint 50 amerikai állammal és területtel kötött globális megállapodás keretében" - írja az amerikai kereskedelemfelügyeleti szerv, az FTC.
Az Equifax nem volt felkészülve a következmények menedzselésére. Rosszul kezelték a jogsértés nyilvánosságra hozatalát, valamint az arra irányuló erőfeszítéseket, hogy forrásokat tegyen elérhetővé az érintettek számára. Hogyan tudott mégis az Equifax talpra állni?
Az Equifax új CISO-t vett fel, Jamil Farshchi személyében, és 200 millió dollárt fektetett az adatbiztonságba, beleértve a javítási folyamatokat, a sebezhetőségek kezelését és a tanúsítványok kezelését. Az Equifax másik elsődleges prioritása a hozzáférés-ellenőrzési védelem és a személyazonosság-kezelés megerősítése volt a vállalaton belül. Farshchi a biztonsági csapatot is növelte, így az Equifax bizonyítani tudja a megfelelőséget és az általános fejlődést.
Vannak olyan lépések, amelyekkel visszaszerezhető a támogatás, ha kiberbiztonsági esemény történik. A tervezett fejlesztésekre jó előre fel kell készülni. Szükség van a legjobb biztonsági gyakorlatok mielőbbi bevezetésére, hogy ez csökkentse az esemény hatását. Az adatok titkosítása megvédheti a titkosságot, a biztonsági mentési terv meggyorsíthatja a helyreállítást, a hálózati szegmentáció pedig elszigetelheti az incidenst és a hatás mértékét.
Elemzések szerint az a vezérigazgató, aki azonnal és hatékonyan kommunikál a vállalat kiberbiztonsági rendszereiről, segít megnyugtatni az ügyfeleket és nyilvánosan jegyzett cégeknél a tőzsdét is egy eseményt követően.
Annak közvetítése, hogy a vállalat már a hackertámadás előtt befektetett a kiberbiztonságba, azt mutatja, hogy a vállalat komolyan vette a biztonságot, különösen az ügyfelek magánéletének védelmét. Még ha ezek az intézkedések nem is akadályozták meg a támadást, a támadások megelőzéséről való őszinte beszéd némileg segíthet kárenyhítésben.
Az egyik baklövés, amelyet egy vállalat elkövethet, a biztonsági események eltitkolása. Az Uber például több mint egy évig titkolta a támadást. A cég 2016-ban nem jelentette, hogy betörtek a rendszereibe. Ehelyett az Uber 100 ezer dollárt fizetett a hackereknek, úgy tüntetve fel, mintha a kifizetés egy bug bounty-ért (feltárt és bejelentett hiba jutalmazásáért) történt volna. A hackerekkel még titoktartási szerződést is aláírattak, hazudva a támadásról. Amikor az Uber 2017-ben végül nyilvánosságra hozta az incidenst, jelentős károkat szenvedett a hírneve, és az FTC is súlyos bírságot szabott ki rá.
Természetesen az erős kiberbiztonsági politika segíthet megvédeni ügyfelek adatait és fenntartani a vállalkozásába vetett bizalmukat.
Egy kiberbiztonsági incidens jelentős pénzügyi következményekkel járhat, és ez csak egyre rosszabb lesz. Az Accenture szerint a kiberbűnözés átlagos költségei a vállalatok számára 2013 és 2018 között 72 százalékkal nőttek.
Míg a fogyasztók joggal aggódnak amiatt, hogy személyes adataik veszélybe kerülhetnek, a vállalatoknak szélesebb körű kiberbiztonsági megfontolásokkal kell számolniuk: a szellemi tulajdon elvesztése, a működés megzavarása, a befektetők bizalmának elvesztése és természetesen az ügyfelek bizalmának csökkenése. Ezért már most érdemes a szilárd védelembe fektetni - állítja a CIO Insight.
