Стоимость взлома данных 2017 года

Поскольку в нашем зеркале заднего обзора наступает 2017 год, многие говорят, что 2018 год должен принести изменения в их подходе к информационной безопасности , 80 процентов респондентов в США и Великобритании говорят, что они изменят свой подход к безопасности, при этом большинство из них либо переключают поставщиков управляемых услуг, либо переключаются с внутренних ресурсов на сторонние, причем многие впервые.

По оценкам Ponemon Institute, средняя стоимость нарушения в 2017 году составит 3,5 миллиона долларов, при этом вероятность того, что американская компания столкнется с нарушением в течение следующих 24 месяцев, составит 27%, что обойдется им в сумму от 1,1 до 3,8 миллионов долларов. Если вы умножите оценочную стоимость Ponemon на каждую запись за нарушение, разделенное по отраслевым вертикалям, многие из нарушений, перечисленных в конце этой статьи, потенциально могут стоить сотни миллионов долларов. Существуют и другие факторы стоимости: приобретение Yahoo компанией Verizon привело к снижению покупной цены на 350 млн долларов из-за потери 1,5 млрд записей.

По оценкам IRS, из-за схемы, включающей инструмент извлечения данных IRS, который использовался для заполнения Бесплатного заявления на федеральную помощь студентам (FAFSA), это обошлось правительству (и налогоплательщикам) в мошеннических налоговых декларациях на 30 миллионов долларов. Медицинская страховка Anthem согласилась на выплату 115 миллионов долларов в связи с нарушением, которое затронуло 80 миллионов их клиентов. Интересно отметить, что если бы умножить на предполагаемую стоимость нарушения Ponemon в расчете на одну запись 380 долларов США для вертикальной системы здравоохранения, их ответственность превысила бы 3 миллиарда долларов.

Что происходит, когда нарушаются сами участники угрозы? Группа спамеров, работающих под названием River City Media, по незнанию выпустила свои собственные недостоверные хранилища данных личной идентификационной информации (PII) из-за неправильной конфигурации резервного копирования, что привело к предполагаемому дополнительному нарушению в 383 миллиона записей - это из базы данных, обнаруженной как имеющая 1,4 миллиарда записей. По сообщениям, еще одно нарушение спамбота включает более 700 миллионов записей.

Число людей, чья личная информация не была взломана, относительно невелико, и отсутствие должного внимания к инфраструктуре безопасности и операциям является основной причиной почти всех наиболее заметных нарушений 2017 года. В Equifax отсутствовало надлежащее управление исправлениями и неспособность заметить вывоз данных. С Saks, недостаток дизайна веб-сайта был связан с незашифрованными данными клиента. Для некоторых других это был подрядчик, который оставил PII доступным, по ошибке или по неосторожности, на AWS. Uber даже пытался скрыть свое нарушение, расплачиваясь с действующими лицами, которые украли данные. Чтобы гарантировать, что лиса не находится в курятнике, сторонние провайдеры безопасности могут обеспечить руководство и надзор, особенно если отчитываются перед уровнями управления финансовым директором, генеральным директором и главным юрисконсультом.

Более того, Среднее время для определения и Среднее время для хранения в 2017 году остаются соответственно на 208 и 52 днях, что резко увеличивает расходы за нарушение. Дело не только в отсутствии надлежащих средств управления, архитектуры и политики: неоптимальное обнаружение инцидентов и реагирование на них еще больше увеличивают стоимость нарушения.

Многие из нарушений 2017 года не опубликовали данные о количестве украденных записей и все еще находятся под следствием. По крайней мере, 30 штатов в 2017 году ввели или рассмотрели законопроекты и постановления об уведомлениях о нарушениях безопасности, и в настоящее время формируется федеральное законодательство, предусматривающее наказание в виде 5 лет для тех, кто не уведомит об этом.

Общий закон о защите данных Европейского союза (GDPR) предусматривает штраф за несоблюдение, который составляет 4% от глобальных доходов компании или 20 миллионов евро, в зависимости от того, что больше. Соблюдение передового опыта в области безопасности почти само по себе становится центром затрат не из-за дохода, который он получит, а из-за денежной ценности, которую сохранит надлежащая безопасность.

Много раз я слышал, что расходы на безопасность упоминаются как родственные страховке, но каждый из них отличается от другого. Страхование заменяет потерянную стоимость, в то время как безопасность стремится предотвратить потерю в первую очередь. Это важное отличие: избегать подвергания информации людей риску гораздо предпочтительнее, чем возмещение затрат, понесенных из-за недостаточной безопасности.

Наиболее логичный план действий для любого бизнеса, который хочет избежать раскрытия конфиденциальных данных и нести расходы за нарушение подпоследовательности, включая штрафные санкции и штрафы, заключается в использовании ресурсов безопасности, которые приносят наибольшую пользу. Аппетит на CapEx и расчет заработной платы против OpEx, безусловно, играет свою роль.

Заметные нарушения безопасности 2017

Поскольку в нашем зеркале заднего обзора наступает 2017 год, многие говорят, что 2018 год должен принести   изменения в их подходе к информационной безопасности   ,  80 процентов респондентов в США и Великобритании говорят, что они изменят свой подход к безопасности, при этом большинство из них либо переключают поставщиков управляемых услуг, либо переключаются с внутренних ресурсов на сторонние, причем многие впервые

Дейв Рикард

Эта статья публикуется как часть Сети участников IDG. Хочу присоединиться?

Что происходит, когда нарушаются сами участники угрозы?
Хочу присоединиться?
www.wu-wi.ru Все права защищены. © 2016