A Look at Data Breach Statistics in 2020

Posted byAndrada CoosDecember 11, 2020Posted inCompliance Content Aware Protection

2020 minden szempontból kihívásokkal teli évnek bizonyult. A COVID-19 világjárvány okozta egészségügyi válság miatt, amely megzavarta a világgazdaságot és számos ágazatot megbénított, talán a kiberbiztonság volt az utolsó dolog, amire bárki is gondolt. A káoszt azonban számos rosszindulatú szereplő kihasználta arra, hogy pusztítást végezzen, és kihasználja a kiberbiztonsági erőfeszítések lazulását. Ennek következtében 2020 az adatsértések és a hatósági bírságok szempontjából kiemelkedő év volt.

A távmunka-szabályok minden üzleti ágazatban való elsietett elfogadása nagy hiányosságokat okozott a kiberbiztonságban, ami a biztonsági incidensek számának növekedését eredményezte. A Malwarebytes kiberbiztonsági vállalat Enduring from Home: COVID-19’s Impact on Business Security jelentés szerint 2020-ban a távmunkások a kiberbiztonsági incidensek közel 20%-ának forrásává váltak. A felmérésükre válaszoló vállalatok 24%-a szembesült olyan váratlan kiadásokkal is, amelyek közvetlenül az otthoni munkavégzés miatt bekövetkezett kibertámadásokhoz és jogsértésekhez kapcsolódtak.

A jelentés azt az aggasztó tendenciát is kimutatta, hogy a távmunkások a cég által biztosított eszközök helyett a személyes eszközeiket használják. A válaszadók 27,7%-a mondta azt, hogy a személyes eszközeit gyakrabban használja, mint a munkahelye által biztosított eszközöket, további 31,2% pedig elismerte, hogy néha személyes eszközöket használ munkájához. Csak 39,1% használta szigorúan csak a munkahelyi eszközöket feladatai ellátásához.

A vállalatok néhány fő aggálya a távmunkával kapcsolatban azzal volt kapcsolatos, hogy az otthoni eszközök jobban ki vannak szolgáltatva, ahol illetéktelen személyek hozzáférhetnek hozzájuk, valamint azzal, hogy a távmunkában használt eszközök kezelése nehézségekbe ütközik, az árnyék IT és a távmunkában végzett IT-támogatás hatékonyságának csökkenése miatt. Mindezt olyan helyzetben, amikor a vállalatoknak csak 61%-a biztosított a munkavállalók számára munkahelyi eszközöket, és 45%-uk nem végzett biztonsági és online adatvédelmi elemzéseket az otthoni munkavégzésre való áttérés érdekében bevezetett szoftvereszközökről.

Az adattörések fő okai

Az IBM és a Ponemon Institute Cost of a Data Breach 2020 jelentés szerint, amely 17 ország és régió 524 szervezeténél dolgozó 3200 személyt kérdezett meg, az összes adattörés 52%-át rosszindulatú külső személyek, további 25%-át rendszerhibák és 23%-át emberi hiba okozta. Az ügyfelek személyazonosításra alkalmas adatai (PII), amelyek az összes adatvédelmi incidens 80%-át tették ki, voltak a leggyakrabban elveszett vagy ellopott adatok. Ez nem meglepő, mivel a személyes adatok érzékenységük miatt a legértékesebb adattípusok közé tartoznak. Következésképpen ez az az adattípus is, amelyet a leggyakrabban védenek az adatvédelmi előírások.

A rosszindulatú adatbetörések 19%-áért a kompromittált hitelesítő adatok és a felhő rossz konfigurációja volt a felelős, további 16%-ért pedig a harmadik féltől származó szoftverek sérülékenysége volt a felelős. Az emberi hiba sem volt az egyetlen módja annak, hogy az alkalmazottak hozzájárultak az adatvédelmi incidensekhez. A rosszindulatú bennfentesek az adatvédelmi incidensek 7%-ának okozói voltak, további 17%-ért pedig a közvetlenül az alkalmazottakat célzó social engineering és adathalász támadások voltak felelősek.

Az alkalmazottak egyes ágazatokban hanyagabbnak bizonyultak, mint más ágazatokban. A lista élén a szórakoztatóipar állt, ahol az összes adatvédelmi incidens 34%-át gondatlan alkalmazottak okozták, ezt követte a közszféra és a fogyasztási cikkek ágazata, ahol az emberi hibák az adatvédelmi incidensek 28%-át okozták. Az egészségügyi ágazatban a szigorú szabályozások ellenére az összes adatvédelmi incidens 27%-áért az alkalmazottak hanyagsága volt a felelős. A spektrum másik végén, a közlekedési ágazatban az adatvédelmi incidensek mindössze 13%-át okozta emberi mulasztás, míg a kiskereskedelemben és a műszaki ágazatban ez az arány 17% volt.

GDPR bírságok folyamatosan emelkednek

Míg a világjárvány miatt enyhült néhány adatvédelmi szabályozás, például az amerikai HIPAA végrehajtása, az európai adatvédelmi ügynökségek zavartalanul folytatták munkájukat. Az idei év számos rekordösszegű bírságot hozott az EU általános adatvédelmi rendeletének való meg nem felelés miatt. Idén eddig 281 bírságot szabtak ki, amelyek összege meghaladja a 162 millió eurót.

A Google-t sújtotta a legsúlyosabban: a francia adatvédelmi hatóság, a CNIL által kiszabott 50 millió eurós bírság ellen benyújtott fellebbezését az ország legfelsőbb bírósága elutasította, a svéd adatvédelmi hatóság pedig újabb 7 millió eurós bírságot szabott ki a technológiai óriáscégre, amiért nem tartotta tiszteletben az egyének elfeledtetéshez való jogát.

A németországi Hamburgi Adatvédelmi Hatóság 2020 októberében a valaha kiszabott második legnagyobb, mintegy 35 millió eurós GDPR-bírságot szabta ki a H&M ruházati kiskereskedőre, amiért az alkalmazottakkal folytatott megbeszéléseket, amelyek során érzékeny információk kerültek nyilvánosságra, rögzítette, majd ezeket belsőleg megosztotta a vezetők között.

A British Airways 22 millió eurós bírságot kapott, mert a gyenge kiberbiztonsági intézkedések miatt nem tudta megakadályozni a 400 000 ügyfelet érintő adatvédelmi incidenst. A Marriottot eközben 20,4 millió eurós bírsággal sújtották a 83 millió vendég adatait érintő látványos adatvédelmi incidens miatt, amely az incidens hátterében álló Starwood Group felvásárlását követő kellő gondosság hiányának következménye volt.

Összefoglalva

Amíg a vállalatok a COVID-19 járvány okozta nehézségekkel szembesülnek, elengedhetetlen, hogy ne hanyagolják el a kiberbiztonságot. A rosszindulatú szereplők mindig keresik a profitszerzési lehetőségeket, és ez idén sem volt másképp. Ugyanakkor, bár az adatvédelmi hatóságok a jelenlegi körülmények miatt engedékenyebbnek mutatkoztak, nem zárkóztak el attól, hogy szemet gyönyörködtető büntetéseket szabjanak ki, ha az adatvédelmi követelmények durva figyelmen kívül hagyását állapították meg.

Mindez azt mutatja, hogy a kiberbiztonság, amelyet néhány évvel ezelőttig sok szervezet utólagos szempontnak tekintett, ma már az üzleti működés alapvető fontosságú része, és nem lesz többé olyan időszak, amikor elfogadható lenne a figyelmen kívül hagyása.

explainer-c_compliant-industry

Töltse le ingyenes ebookunkat a GDPR-megfelelőségről

Egy átfogó útmutató minden vállalkozás számára arról, hogyan biztosítható a GDPR-megfelelőség, és hogyan segíthet ebben az Endpoint Protector DLP.

.