A Look at Data Breach Statistics in 2020

2020 okazał się być rokiem pełnym wyzwań z każdego punktu widzenia. Wraz z kryzysem zdrowotnym wywołanym przez pandemię COVID-19, który zakłócił światową gospodarkę i sparaliżował wiele sektorów, bezpieczeństwo cybernetyczne mogło być ostatnią rzeczą, o której ktokolwiek myślał. Jednak wiele złośliwych podmiotów wykorzystało ten chaos, aby siać spustoszenie i czerpać zyski z rozluźnienia wysiłków na rzecz bezpieczeństwa cybernetycznego. W konsekwencji, rok 2020 był rekordowy pod względem naruszeń danych i kar nałożonych przez przepisy prawne.

Pośpieszne przyjęcie powszechnej polityki pracy zdalnej we wszystkich sektorach biznesowych stworzyło duże luki w zabezpieczeniach cybernetycznych, co spowodowało wzrost liczby incydentów bezpieczeństwa. Według raportu firmy Malwarebytes Enduring from Home: COVID-19’s Impact on Business Security report, pracownicy zdalni stali się źródłem prawie 20% incydentów cyberbezpieczeństwa w 2020 roku. Wśród firm, które odpowiedziały na ankietę, 24% stanęło również w obliczu nieoczekiwanych wydatków związanych bezpośrednio z cyberatakami i naruszeniami, które miały miejsce w związku z pracą w domu.

Raport wykazał również niepokojącą tendencję wśród pracowników zdalnych do korzystania z urządzeń osobistych zamiast firmowych. 27,7% respondentów stwierdziło, że korzysta z urządzeń osobistych częściej niż z urządzeń dostarczanych przez ich miejsce pracy, a kolejne 31,2% przyznało, że czasami używa urządzeń osobistych do pracy. Jedynie 39,1% respondentów korzystało wyłącznie z urządzeń służbowych do wykonywania swoich obowiązków.

Kilka kluczowych obaw firm związanych z pracą zdalną dotyczyła większego narażenia urządzeń w domu, gdzie dostęp do nich mogą mieć osoby nieuprawnione, trudności w zarządzaniu urządzeniami korzystającymi z zasobów pracy zdalnej, shadow IT oraz spadku efektywności wsparcia informatycznego realizowanego zdalnie. Wszystko to w sytuacji, gdy tylko 61% firm udostępniło pracownikom urządzenia do pracy, a 45% nie przeprowadziło analizy bezpieczeństwa i prywatności online oprogramowania, które wdrożyło w celu przejścia do pracy z domu.

Główne przyczyny naruszeń danych

Według raportu IBM i Ponemon Institute Cost of a Data Breach 2020, w którym przepytano 3200 osób pracujących dla 524 organizacji w 17 krajach i regionach, 52% wszystkich naruszeń danych zostało spowodowanych przez złośliwe osoby z zewnątrz, kolejne 25% przez błędy systemowe, a 23% przez błędy ludzkie. Najczęściej traconymi lub kradzionymi danymi były informacje umożliwiające identyfikację klientów (PII), które stanowiły 80% wszystkich naruszeń danych. Trudno się temu dziwić, biorąc pod uwagę, że PII to najcenniejszy rodzaj danych ze względu na ich wrażliwość. W konsekwencji, jest to również typ danych najczęściej chroniony przez przepisy dotyczące ochrony danych.

Skompromitowane dane uwierzytelniające i błędna konfiguracja chmury były odpowiedzialne za 19% złośliwych naruszeń danych, a luki w oprogramowaniu stron trzecich odpowiadały za kolejne 16%. Błąd ludzki nie był również jedynym sposobem, w jaki pracownicy przyczynili się do naruszenia danych. Złośliwi insiderzy byli przyczyną 7% naruszeń danych, a ataki socjotechniczne i phishingowe skierowane bezpośrednio na pracowników stanowiły kolejne 17%.

Pracownicy okazali się również bardziej niedbali w niektórych sektorach niż w innych. Na szczycie listy znalazła się branża rozrywkowa, w której 34% wszystkich przypadków naruszenia danych zostało spowodowanych przez nieostrożnych pracowników, a następnie sektor publiczny i sektor produktów konsumenckich, w których błąd ludzki stanowił 28% przypadków naruszenia danych. W sektorze opieki zdrowotnej, pomimo rygorystycznych przepisów, zaniedbania pracowników były odpowiedzialne za 27% wszystkich przypadków naruszenia danych. Na drugim końcu spektrum, w transporcie, tylko 13% naruszeń danych było spowodowanych błędem ludzkim, podczas gdy w handlu detalicznym i technice błąd ludzki stanowił 17%.

Grzywny z tytułu GDPR wciąż rosną

Podczas gdy egzekwowanie niektórych przepisów dotyczących ochrony danych, takich jak HIPAA w USA, zostało złagodzone z powodu pandemii, europejskie agencje ochrony danych kontynuowały swoją pracę bez przeszkód. Bieżący rok przyniósł szereg rekordowych kar za nieprzestrzeganie Ogólnego Rozporządzenia o Ochronie Danych UE. Do tej pory w tym roku nałożono 281 grzywien na łączną kwotę ponad 162 mln euro.

Google najbardziej ucierpiało, ponieważ jego odwołanie od grzywny nałożonej przez francuski urząd ochrony danych CNIL w wysokości 50 mln euro zostało odrzucone przez sąd najwyższy tego kraju, a szwedzki urząd ochrony danych ukarał giganta technologicznego grzywną w wysokości 7 mln euro za nieprzestrzeganie prawa jednostki do bycia zapomnianym.

W październiku 2020 r. Urząd Ochrony Danych w Hamburgu (Niemcy) nałożył drugą co do wielkości grzywnę w ramach GDPR, wynoszącą około 35 mln euro, na sprzedawcę detalicznego odzieży H&M za nagrywanie spotkań z pracownikami, podczas których ujawniano poufne informacje, a następnie udostępnianie ich wewnętrznie wśród kadry kierowniczej.

British Airways zostały ukarane grzywną w wysokości 22 mln euro za niezapobieżenie naruszeniu danych, które dotknęło 400 000 klientów, z powodu słabych środków bezpieczeństwa cybernetycznego. Marriott natomiast został ukarany grzywną w wysokości 20,4 miliona euro za spektakularne naruszenie danych, które dotknęło 83 miliony rekordów gości i było konsekwencją braku należytej staranności po przejęciu grupy Starwood, która była źródłem incydentu.

Podsumowując

Podczas gdy firmy stawiają czoła trudnościom związanym z pandemią COVID-19, ważne jest, aby nie zaniedbywały bezpieczeństwa cybernetycznego. Złośliwe podmioty zawsze szukają okazji do osiągnięcia zysku i nie inaczej było w tym roku. Jednocześnie, chociaż organy ochrony danych okazały się bardziej pobłażliwe ze względu na obecne okoliczności, nie powstrzymały się od nakładania srogich kar w przypadku wykrycia rażących zaniedbań w zakresie wymogów ochrony danych.

Wszystko to pokazuje, że bezpieczeństwo cybernetyczne, które jeszcze kilka lat temu było uważane przez wiele organizacji za rzecz drugorzędną, stanowi obecnie kluczową część działalności biznesowej i nie będzie już czasu, kiedy dopuszczalne będzie jego lekceważenie.