Не совершайте этих ошибок кибербезопасности в 2021 году

Конфиденциальность данных и кибербезопасность стали модными словами в 2020 году, и не зря. Из-за плохой практики конфиденциальности и ошибок в области кибербезопасности как крупные, так и малые предприятия пострадали от уязвимостей в системе безопасности данных.

Утечки данных, такие как взлом Solar Winds, взлом Агентства по ядерному оружию и кража всего списка клиентов Clearview AI, были лишь несколькими результатами уязвимостей программного обеспечения. Хакеры получили доступ к учетным записям электронной почты сотрудников T-Mobile, скомпрометировав данные клиентов и сотрудников, а Nintendo оставила 160 000 пользователей уязвимыми в результате масштабной кампании по взлому.

Даже Twitter подвергся крупной фишинговой атаке, в результате которой были украдены инструменты для проникновения. Количество атак было достаточным, что доказывает, что предприятия должны более серьезно относиться к кибербезопасности и конфиденциальности данных.

Компании не информируют клиентов об отслеживании

Чтобы узнать, как компании защищают данные и обращаются с ними, Zoho провела опрос о конфиденциальности среди более чем 1400 бизнес-лидеров в компаниях различных размеров и отраслей. Удивительно, но 62% американских и канадских компаний заявили, что не информируют клиентов о том, что разрешают размещать на своих веб-сайтах код отслеживания сторонних сервисов.

По иронии судьбы, большинство из этих компаний также утверждают, что у них есть четко определенные и строгие политики конфиденциальности данных потребителей. Что еще более тревожно, опрос показал, что стороннее отслеживание рекламы широко распространено: 100% респондентов заявили, что их компания разрешает это.

Понятно, что стороннее отслеживание и продажа данных стали прибыльными для компаний, однако многие предприятия не осознают, насколько неэтичной и опасной может быть тактика сбора данных.

Захват информации, часто конфиденциальной, оставляет данные пользователей открытыми для шлюзов с явной уязвимостью.

Как одна компания изменила свою кибербезопасность

К сожалению, многим компаниям пришлось извлечь трудные уроки из своих ошибок в области кибербезопасности в 2020 году. Однако для одного клиента Zoho утечка данных заставила их применять более строгие политики для обеспечения непревзойденной безопасности. Call Center Sales Pro (CCSP), колл-центр и поставщик услуг автоответчика, базирующийся в Теннесси, работает с медицинскими и юридическими службами, а это означает, что они должны тщательно заботиться о данных для соблюдения требований HIPAA.

Бизнес состоит из нескольких брендов под эгидой компании, поэтому, когда несколько сайтов их брендов были взломаны, специалисты по обслуживанию колл-центров отнеслись к этому очень серьезно. Марк Фишман, директор по продажам и маркетингу, сказал: «Все сайты моих брендов, которых не было на сайтах Zoho, были взломаны, и хотя данные не были взломаны, я благодарен, что мы смогли быстро восстановить контроль».

К счастью, данные не были взломаны, и CCSP быстро смогла восстановить контроль над веб-сайтами, но этот опыт подтвердил необходимость консолидации всех их активов в защищенной системе.

Профессионалы по продажам в колл-центре извлекли уроки из своих ошибок, и теперь команда сосредоточилась на том, чтобы собрать информацию о любых потенциальных слабых местах, чтобы они могли быстрее решать проблемы. Благодаря этому CCSP может лучше защищать данные своих клиентов.

Кроме того, они избежали ошибок в кибербезопасности в будущем, используя программное обеспечение, которое задействует интеллектуальные меры безопасности, такие как двухфакторная аутентификация для входа в систему и частый сброс пароля для обеспечения безопасности системы.

Узнав об этом, Марк сказал: «В 2020 году все было реактивным. В 2021 году нам, возможно, посчастливится работать с некоторой предусмотрительностью».

Реальность неправомерного использования конфиденциальности данных

Хотя ни одна компания не может предсказать будущее, важно, чтобы они применяли упреждающий подход и защищали данные, внедряя более совершенные меры безопасности. Такие правила, как GDPR, Калифорнийский закон о конфиденциальности потребителей и Закон о правах потребителей на конфиденциальность, помогли заявить о необходимости регулирования, но еще многое предстоит сделать.

В течение последних нескольких лет прозрачность конфиденциальности данных искажалась крупными технологическими компаниями, собирающими огромные объемы данных для получения финансовой выгоды тайными методами. Простое рассмотрение дополнительной слежки, очевидной с помощью сторонних трекеров, которые скрытно отслеживают потребителей и одновременно собирают данные, показывает нам, что необходимость в прозрачности просрочена.

Что могут сделать предприятия

К счастью, есть способы, с помощью которых компании могут убедиться, что они не являются нарушителями конфиденциальности данных, и избежать ошибок в области кибербезопасности. Обучение и постоянное обучение имеют ключевое значение для компаний, чтобы обеспечить соответствие требованиям и защитить себя от потенциальных угроз.

Независимо от того, может ли компания позволить себе группу безопасности или нет, благоразумно, чтобы члены группы были в курсе последних законов и удостоверяли, что их протоколы соответствуют нормативным требованиям. Компании могут проводить специальное обучение по конфиденциальности данных, посвященное тому, как их компания собирает данные, а также тому, как используемое ими программное обеспечение собирает бизнес-данные.

Чтобы помочь обучению безопасности, для бизнеса также важно продолжать аудиты, тесты и проверки соответствия. Регулярное тестирование современных сложных систем не только защитит предприятия от потенциальных угроз, но и позволит компаниям лучше принимать новые законы.

Кроме того, использование инструментов безопасности, таких как шифрование, многофакторная аутентификация для безопасного входа в систему и VPN, защитит от потенциальных порталов для неправомерного использования. Наконец, компаниям следует удалить все сторонние трекеры и собирать данные только при необходимости.

Применяя скрупулезные методы обеспечения безопасности, предприятия могут выдержать потенциальный ущерб конфиденциальности и безопасности.

По мере развития технологий сбор данных и угрозы кибербезопасности будут становиться все более скрытными. Пришло время компаниям и частным лицам пересмотреть, какие технологии они используют как для работы, так и в личных целях, и как эти поставщики используют их информацию.

Компании также должны придерживаться твердого подхода к совершенствованию своих внутренних методов кибербезопасности, чтобы оставаться в соответствии с требованиями, проводить аудиты и тесты, а также использовать безопасные программные решения, а также безопасные зашифрованные входы в систему.

Обеспечивая прозрачность конфиденциальности данных и укрепляя кибербезопасность, предприятия смогут блокировать будущие угрозы и рассчитывать только на безопасные операции до 2021 года.