En titt på statistiken över dataintrång 2020

2020 har visat sig vara ett utmanande år ur alla synvinklar. Med den hälsokris som orsakades av COVID-19-pandemin som störde världsekonomin och lamslog många sektorer kan cybersäkerhet ha varit det sista någon tänkte på. Många illasinnade aktörer utnyttjade dock kaoset för att ställa till med förödelse och tjäna pengar på att cybersäkerhetsinsatserna slappnade av. Som en följd av detta har 2020 varit ett stjärnfyllt år när det gäller dataintrång och lagstadgade böter.

Det hastiga antagandet av utbredda riktlinjer för distansarbete i alla företagssektorer skapade stora luckor i cybersäkerheten, vilket resulterade i en ökning av säkerhetsincidenter. Enligt cybersäkerhetsföretaget Malwarebytes’ Enduring from Home: COVID-19’s Impact on Business Security report, blev distansarbetare källan till nästan 20 % av cybersäkerhetsincidenterna år 2020. Bland de företag som svarade på deras enkät fick 24 % också oväntade utgifter som var direkt kopplade till cyberattacker och intrång som inträffade på grund av arbete hemifrån.

Rapporten visade också på en oroande trend bland distansarbetare att använda sina personliga enheter i stället för de enheter som företaget tillhandahåller. 27,7 % av de tillfrågade uppgav att de använde sina personliga enheter mer än de enheter som tillhandahölls av arbetsplatsen, och ytterligare 31,2 % medgav att de ibland använde personliga enheter i arbetet. Endast 39,1 % använde strikt endast arbetsutrustade enheter för att utföra sina arbetsuppgifter.

Några av företagens viktigaste farhågor när det gäller distansarbete gällde att enheterna är mer utsatta i hemmet där obehöriga kan få tillgång till dem, svårigheten att hantera enheter med hjälp av resurser för distansarbete, skugg-IT och minskad effektivitet hos IT-stöd som utförs på distans. Allt detta i en situation där endast 61 % av företagen försåg de anställda med arbetsrelaterade enheter och 45 % inte utförde säkerhets- och integritetsanalyser på nätet av de programvaruverktyg som de införde för att övergå till arbete hemifrån.

Huvudsakliga orsaker till dataintrång

Enligt IBM och Ponemon Institute Cost of a Data Breach report 2020, där 3200 personer som arbetar för 524 organisationer i 17 länder och regioner intervjuades, orsakades 52 procent av alla dataintrång av illvilliga utomstående, ytterligare 25 procent av systemfel och 23 procent av mänskliga fel. Kundernas personligt identifierbara information (PII), som utgjorde 80 % av alla dataintrång, var den typ av uppgifter som oftast förlorades eller stals. Detta är knappast förvånande eftersom PII är den mest värdefulla typen av uppgifter på grund av sin känslighet. Följaktligen är det också den typ av uppgifter som oftast skyddas av dataskyddsbestämmelser.

Försvårade autentiseringsuppgifter och felkonfigurering av molnet låg bakom 19 % av de skadliga dataintrången, medan sårbarheter i tredjepartsprogramvara stod för ytterligare 16 %. Mänskliga fel var inte heller det enda sätt på vilket anställda bidrog till dataintrång. Skadliga insiders var orsaken till 7 % av dataintrången, medan social ingenjörskonst och nätfiskeattacker som riktade sig direkt till anställda stod för ytterligare 17 %.

Anställda visade sig också vara mer försumliga i vissa sektorer än i andra. Högst upp på listan stod underhållningsindustrin där 34 % av alla dataintrång orsakades av slarviga anställda, följt av den offentliga sektorn och konsumentvarusektorn där mänskliga misstag stod för 28 % av dataintrången. Inom hälso- och sjukvårdssektorn var arbetstagarnas oaktsamhet ansvarig för 27 % av alla dataintrång, trots omfattande regleringar. I andra änden av spektrumet, inom transportsektorn, orsakades endast 13 % av dataintrånget av mänskliga fel, medan det inom detaljhandel och teknik stod för 17 %.

GDPR-böter fortsätter att öka

Men även om tillämpningen av vissa dataskyddsförordningar, t.ex. HIPAA i USA, har lättats upp på grund av pandemin, har de europeiska dataskyddsbyråerna fortsatt sitt arbete obehindrat. I år har ett antal rekordhöga böter utdömts på grund av bristande efterlevnad av EU:s allmänna dataskyddsförordning. Hittills har 281 böter utfärdats i år, som uppgår till över 162 miljoner euro.

Google har drabbats hårdast, med sitt överklagande av Frankrikes dataskyddsmyndighet CNIL:s böter på 50 miljoner euro som avvisades av landets högsta domstol och den svenska datamyndigheten som gav teknikjätten ytterligare 7 miljoner euro i böter för att ha misslyckats med att följa en individs rätt att bli bortglömd.

I oktober 2020 utfärdade dataskyddsmyndigheten i Hamburg, Tyskland, det näst största GDPR-bot som någonsin utdömts, på cirka 35 miljoner euro, till klädåterförsäljaren H&M för att ha spelat in möten med anställda där känslig information avslöjades och sedan delat dem internt bland cheferna.

British Airways dömdes till böter på 22 miljoner euro för att ha misslyckats med att förhindra ett dataskyddsintrång som påverkade 400 000 kunder på grund av dåliga cybersäkerhetsåtgärder. Marriott drabbades under tiden av böter på 20,4 miljoner euro för det spektakulära dataintrånget som påverkade 83 miljoner gästuppgifter och som var en följd av att företaget saknade omsorgsfullhet efter att ha förvärvat Starwood Group, som låg till grund för incidenten.

Sammanfattningsvis

När företagen möter de svårigheter som COVID-19-pandemin innebär är det viktigt att de inte försummar cybersäkerheten. Skadliga aktörer letar alltid efter möjligheter till vinst och detta år har inte varit annorlunda. Samtidigt har dataskyddsmyndigheterna visat sig vara mer milda på grund av de rådande omständigheterna, men de har inte hållit sig tillbaka från att utdöma skyhöga straff när grov försummelse av dataskyddskraven konstaterats.

Allt detta visar att cybersäkerhet, som fram till för några år sedan betraktades som en eftertanke av många organisationer, nu är en viktig del av affärsverksamheten, och det kommer inte längre att finnas någon tid då det är godtagbart att strunta i den.

.