O privire asupra statisticilor privind încălcarea securității datelor în 2020

2020 s-a dovedit a fi un an provocator din toate punctele de vedere. Cu criza de sănătate provocată de pandemia COVID-19 care a perturbat economia mondială și a paralizat multe sectoare, este posibil ca securitatea cibernetică să fi fost ultimul lucru la care se gândea cineva. Cu toate acestea, mulți actori rău intenționați au profitat de haos pentru a face ravagii și a profita de relaxarea eforturilor de securitate cibernetică. În consecință, 2020 a fost un an stelar în ceea ce privește încălcările de date și amenzile de reglementare.

Adoptarea în grabă a politicilor de lucru la distanță pe scară largă în toate sectoarele de afaceri a creat lacune mari în materie de securitate cibernetică, ceea ce a dus la o creștere a incidentelor de securitate. Potrivit raportului Enduring from Home al companiei de securitate cibernetică Malwarebytes: COVID-19’s Impact on Business Security report, lucrătorii la distanță au devenit sursa a aproape 20% din incidentele de securitate cibernetică în 2020. Dintre companiile care au răspuns la sondajul lor, 24% s-au confruntat, de asemenea, cu cheltuieli neașteptate legate direct de atacurile cibernetice și breșele care au avut loc din cauza muncii de acasă.

Raportul a arătat, de asemenea, o tendință îngrijorătoare în rândul lucrătorilor la distanță de a utiliza dispozitivele personale în locul celor emise de companie. 27,7% dintre respondenți au declarat că își folosesc dispozitivele personale mai mult decât cele furnizate de locul de muncă, iar alți 31,2% au recunoscut că uneori folosesc dispozitivele personale pentru muncă. Doar 39,1% au folosit strict doar dispozitivele furnizate de serviciu pentru a-și îndeplini sarcinile.

Câteva dintre principalele preocupări ale companiilor în ceea ce privește munca la distanță au fost legate de faptul că dispozitivele sunt mai expuse la domiciliu, unde persoane neautorizate pot avea acces la ele, de dificultatea gestionării dispozitivelor care utilizează resurse de lucru la distanță, de shadow IT și de o scădere a eficienței suportului IT efectuat de la distanță. Toate acestea în condițiile în care doar 61% dintre companii au pus la dispoziția angajaților dispozitive emise la locul de muncă și 45% nu au efectuat analize de securitate și confidențialitate online ale instrumentelor software pe care le-au implementat pentru tranziția la munca de acasă.

Principalele cauze ale încălcărilor de date

Potrivit raportului IBM și Ponemon Institute Cost of a Data Breach 2020, în care au fost intervievate 3200 de persoane care lucrează pentru 524 de organizații din 17 țări și regiuni, 52% din toate încălcările de date au fost cauzate de persoane externe rău intenționate, alte 25% de erori de sistem și 23% de erori umane. Informațiile personale identificabile ale clienților (PII), care au reprezentat 80% din toate încălcările de date, au fost tipul de înregistrare cel mai des pierdut sau furat. Acest lucru nu este deloc surprinzător, având în vedere că informațiile de identificare personală sunt cel mai valoros tip de date datorită sensibilității lor. În consecință, este, de asemenea, tipul de date cel mai des protejat de reglementările privind protecția datelor.

Cerințele de acreditare compromise și configurarea necorespunzătoare a cloud-ului au fost responsabile pentru 19 % dintre încălcările de date rău intenționate, iar vulnerabilitățile software-urilor terțe au reprezentat alte 16 %. Eroarea umană nu a fost, de asemenea, singurul mod în care angajații au contribuit la breșele de date. Persoanele rău intenționate din interior au fost cauza principală a 7 % din încălcările de date, iar ingineria socială și atacurile de phishing care au vizat direct angajații au reprezentat alte 17 %.

S-a demonstrat, de asemenea, că angajații sunt mai neglijenți în anumite sectoare decât în altele. În fruntea listei se află industria de divertisment, unde 34% din toate încălcările de date au fost cauzate de angajați neglijenți, urmată de sectorul public și cel al produselor de consum, unde eroarea umană a reprezentat 28% din încălcările de date. În sectorul sănătății, în ciuda reglementărilor stricte, neglijența angajaților a fost responsabilă pentru 27% din toate încălcările de date. La celălalt capăt al spectrului, în sectorul transporturilor, doar 13% dintre încălcările de date au fost cauzate de erori umane, în timp ce în sectorul comerțului cu amănuntul și al tehnologiei acestea au reprezentat 17%.

Amenzile GDPR continuă să crească

În timp ce punerea în aplicare a unor reglementări privind protecția datelor, cum ar fi HIPAA în SUA, a fost relaxată din cauza pandemiei, agențiile europene de protecție a datelor și-au continuat nestingherite activitatea. Anul acesta a adus o serie de amenzi record din cauza nerespectării Regulamentului general privind protecția datelor din UE. Până în prezent, anul acesta au fost date 281 de amenzi, în valoare de peste 162 de milioane de euro.

Google a fost cel mai afectat, apelul său la amenda de 50 de milioane de euro aplicată de CNIL, autoritatea franceză pentru protecția datelor, fiind respins de cea mai înaltă instanță din această țară, iar Autoritatea suedeză pentru protecția datelor a aplicat gigantului tehnologic o altă amendă de 7 milioane de euro pentru nerespectarea dreptului unei persoane de a fi uitată.

În octombrie 2020, a doua cea mai mare amendă GDPR impusă vreodată, de aproximativ 35 de milioane de euro, a fost dată de Autoritatea pentru protecția datelor din Hamburg, Germania, retailerului de îmbrăcăminte H&M pentru că a înregistrat întâlniri cu angajații în timpul cărora au fost dezvăluite informații sensibile și apoi le-a partajat la nivel intern între manageri.

British Airways a fost amendată cu 22 de milioane de euro pentru că nu a reușit să prevină o încălcare a securității datelor care a afectat 400.000 de clienți din cauza unor măsuri deficitare de securitate cibernetică. Între timp, Marriott a fost sancționată cu o amendă de 20,4 milioane de euro pentru spectaculoasa încălcare a securității datelor care a afectat 83 de milioane de înregistrări ale clienților și care a fost o consecință a lipsei de diligență după achiziționarea grupului Starwood, care a stat la baza incidentului.

În concluzie

În timp ce companiile se confruntă cu dificultățile pe care le ridică pandemia COVID-19, este esențial ca acestea să nu neglijeze securitatea cibernetică. Actorii rău intenționați sunt întotdeauna în căutarea unor oportunități de a profita, iar anul acesta nu a fost diferit. În același timp, în timp ce autoritățile de protecție a datelor s-au arătat mai îngăduitoare din cauza circumstanțelor actuale, acestea nu s-au abținut de la aplicarea unor sancțiuni amețitoare atunci când a fost identificată neglijarea flagrantă a cerințelor de protecție a datelor.

Toate acestea arată că securitatea cibernetică, care până acum câțiva ani era considerată o chestiune secundară de către multe organizații, este acum o parte crucială a operațiunilor de afaceri și nu va mai exista un moment în care să fie acceptabil să o neglijezi.