Mentre l’ondata di violazioni dei dati continua a schiantarsi sulle aziende, diamo uno sguardo indietro ad alcune delle violazioni dei dati più grandi e più dannose mai registrate. Continua a leggere per una passeggiata storica attraverso le violazioni nel tempo, nonché le risorse per prevenire le violazioni dei dati.
TechTarget definisce una violazione dei dati come “un incidente in cui dati sensibili, protetti o riservati sono stati potenzialmente visualizzati, rubati o utilizzati da un individuo non autorizzato a farlo., Le violazioni dei dati possono riguardare informazioni sulla carta di pagamento (PCI), informazioni sanitarie personali (PHI), informazioni di identificazione personale (PII), segreti commerciali o proprietà intellettuale.”Ma da quanto tempo le violazioni dei dati sono una preoccupazione per aziende e consumatori e che tipo di impatto hanno avuto le violazioni dei dati nel corso della storia?
L’origine delle violazioni dei dati
Le violazioni dei dati hanno guadagnato un’attenzione diffusa in quanto le aziende di tutte le dimensioni diventano sempre più dipendenti dai dati digitali, dal cloud computing e dalla mobilità della forza lavoro., Con i dati aziendali sensibili archiviati su macchine locali, su database aziendali e su server cloud, la violazione dei dati di un’azienda è diventata semplice o complessa quanto l’accesso a reti limitate.
Le violazioni dei dati non sono iniziate quando le aziende hanno iniziato a memorizzare digitalmente i loro dati protetti. Infatti, violazioni dei dati sono esistiti per tutto il tempo come gli individui e le aziende hanno mantenuto i record e le informazioni private memorizzate., Prima che l’informatica diventasse un luogo comune, una violazione dei dati potrebbe essere qualcosa di semplice come la visualizzazione della cartella clinica di un individuo senza autorizzazione o la ricerca di documenti sensibili che non sono stati smaltiti correttamente. Tuttavia, le violazioni dei dati divulgate pubblicamente sono aumentate di frequenza negli 1980 e negli 1990 e nei primi 2000, la consapevolezza pubblica del potenziale di violazioni dei dati ha iniziato a crescere.
Leggi e regolamenti come HIPAA o PCI Data Security Standard sono creati per fornire linee guida per le aziende e le organizzazioni che gestiscono determinati tipi di informazioni sensibili dei consumatori., Questi regolamenti forniscono un quadro per le misure di sicurezza, l’archiviazione e le pratiche di utilizzo necessarie per la gestione delle informazioni sensibili, ma queste regole non esistono in tutti i settori, né impediscono in modo definitivo il verificarsi di violazioni dei dati.
La maggior parte delle informazioni sulle violazioni dei dati si concentra sul periodo di tempo dal 2005 ad oggi. Ciò è in gran parte dovuto al progresso della tecnologia e alla proliferazione dei dati elettronici in tutto il mondo, rendendo le violazioni dei dati una delle principali preoccupazioni sia per le imprese che per i consumatori., Le violazioni dei dati di oggi possono avere un impatto su centinaia di migliaia – spesso milioni – di singoli consumatori e persino su più record individuali, il tutto da un singolo attacco a un’azienda.
4 Tipi comuni di violazioni dei dati
Quando le grandi organizzazioni “perdono” o espongono accidentalmente i dati, è spesso attraverso hacking, negligenza o entrambi. Tuttavia, ci sono diversi altri tipi di perdita di dati e/o corruzione che sarebbero classificati come una “violazione.”Diamo un’occhiata a quattro ulteriori tipi di violazioni.
Ransomware
Ransomware è il nome per il software dannoso che ottiene l’accesso e blocca l’accesso ai dati vitali (cioè, file, sistemi). Questi attacchi colpiscono più comunemente le imprese. File e / o sistemi sono bloccati e viene richiesta una certa commissione (il più delle volte sotto forma di Bitcoin o altre criptovalute).
Malware
Il malware è qualsiasi software progettato per danneggiare i file di computer e / o sistemi., Ironia della sorte, il malware spesso si maschera come un avvertimento contro il software dannoso nel tentativo di convincere gli utenti a scaricare gli stessi tipi di software menzionati nel messaggio di “avviso”.
Phishing
Il phishing si verifica quando qualcuno o qualcosa imita un’entità affidabile e rispettabile al fine di raccogliere dati sensibili (spesso dati bancari o altamente personali). Questi attacchi non sono esclusivi di Internet., I metodi più comuni per le truffe di phishing che possono includere:
- Un pop-up sul vostro browser
- Una e-mail con un link
- Una persona al telefono che dichiara di essere un rappresentante di una società rispettabile
Denial-of-Service (DoS)
Un denial-of-service (DoS) violazione essenzialmente toglie l’accesso a siti web e pagine web. Quando ciò accade su larga scala, è noto come DDoS (Distributed Denial-of-Service). Questi attacchi su larga scala possono interrompere una gran parte dei siti online in determinate aree., Uno dei più grandi attacchi DDoS mai registrati è l’attacco del 2016 a Dyn che ha reso una parte considerevole dell’accesso a Internet degli Stati Uniti orientali praticamente inutilizzabile per diverse ore. Il più grande e più recente attacco DDoS è accaduto a GitHub a febbraio di 2018.
Quante violazioni dei dati si verificano?
La Privacy Rights Clearinghouse, che riporta le violazioni dei dati che colpiscono i consumatori, mantiene una cronologia delle violazioni dei dati e delle violazioni della sicurezza risalenti al 2005., Le violazioni dei dati segnalate dalla Privacy Rights Clearinghouse includono violazioni in cui le informazioni compromesse “include elementi di dati utili ai ladri di identità, come numeri di previdenza sociale, numeri di conto e numeri di patente di guida.”
Tuttavia, alcune violazioni che non compromettono questo tipo di informazioni sensibili sono anche segnalati al fine di fornire una visione ampia della varietà e la frequenza delle violazioni dei dati. Inoltre, le violazioni dei dati riportati qui includono solo quelli segnalati negli Stati Uniti, non incidenti in altri paesi.,
La maggior parte dei conti storici Documentano violazioni dal 2005 in poi
Mentre le violazioni dei dati sono stati certamente si verificano prima del 2005, la maggior parte dei più grandi violazioni dei dati registrati nella storia sono segnalati nel 2005 o oltre. Ciò può essere attribuito al fatto che il volume mondiale di dati è cresciuto esponenzialmente anno dopo anno, dando ai criminali informatici una maggiore opportunità di esporre enormi volumi di dati in una singola violazione.
Considera queste proiezioni da un rapporto del CSC del 2012:
- Entro il 2020, oltre un terzo di tutti i dati vivrà o passerà attraverso il cloud.
- Nel 2020, si stima che la produzione di dati sia 44 volte maggiore rispetto al 2009; gli esperti stimano un aumento del 4.300% nella generazione di dati annuale entro il 2020.
- Mentre gli individui sono responsabili della maggior parte della creazione di dati (70%), l ‘ 80% di tutti i dati viene memorizzato dalle imprese.
Solo nel 2005, 136 violazioni dei dati sono state segnalate dalla Privacy Rights Clearinghouse., Più di 4.500 violazioni dei dati sono state rese pubbliche dal 2005, con oltre 816 milioni di singoli record violati. Poiché la Privacy Rights Clearinghouse segnala violazioni per le quali il numero di record violati è sconosciuto e non è una raccolta completa di tutti i dati di violazione, i record totali effettivi violati a seguito di violazioni dei dati sono probabilmente sostanzialmente più alti. Per esempio, il 2015 Verizon Data Breach Investigations Report coperto oltre 2.100 violazioni dei dati in cui più di 700 milioni di record sono stati esposti per l’anno 2014 da solo.,
Le violazioni dei dati sono diventate più grandi in numero e impatto
Diversi esperti e altri media hanno tentato di nominare le più grandi violazioni dei dati nella storia. Secondo Statista, che riporta il numero di violazioni dei dati e record esposti negli Stati Uniti dal 2005, il numero di attacchi informatici è in una tendenza al rialzo. Nel 2005, 157 violazioni dei dati sono stati segnalati negli Stati Uniti, con 66,9 milioni di record esposti. Nel 2014 sono state segnalate 783 violazioni dei dati, con almeno 85,61 milioni di record totali esposti, con un aumento di quasi il 500% rispetto al 2005., Questo numero è più che raddoppiato in tre anni a 1.579 violazioni segnalate in 2017. E questi sono i numeri di Statista, che sono un po ‘ conservatori rispetto al DBIR di Verizon o ad altri rapporti di violazione dei dati standard del settore.
La tendenza non sta aumentando costantemente, tuttavia. Nel 2009, ad esempio, il numero di violazioni totali dei dati segnalati negli Stati Uniti è sceso a 498, da 656 nel 2008. Detto questo, il numero totale di singoli record esposti è aumentato bruscamente, da 35.,7 milioni nel 2008 a 222,5 milioni nel 2009. Queste cifre indicano che, mentre si sono verificate meno violazioni, le singole violazioni sono state maggiori, risultando in un numero maggiore di record esposti per violazione.
C’è stato anche un calo nel numero di violazioni dei dati segnalati tra il 2010 e il 2011, con 662 violazioni dei dati segnalati nel 2010, e 419 violazioni dei dati segnalati nel 2011., A partire dal 2011, tuttavia, il numero di violazioni dei dati riportati negli Stati Uniti è in costante aumento:
- 614 violazioni dei dati riportati nel 2013
- 783 violazioni dei dati riportati nel 2014
- 1,093 violazioni dei dati riportati nel 2016
- 1,579 violazioni dei dati riportati nel 2017
Forbes riporta che negli ultimi 10 anni, ci sono state più di 300 le violazioni di dati con conseguente furto di 100.000 o più record. E queste sono solo alcune delle violazioni dei dati che sono stati segnalati pubblicamente.,
La più grande violazione dei dati nella storia
La più grande violazione dei dati nella storia indirettamente coinvolto Experian, una delle tre principali agenzie di segnalazione di credito. Experian ha acquisito una società chiamata Court Ventures, che raccoglie e aggrega informazioni dai registri pubblici, nel marzo 2012. Al momento dell’acquisizione, Court Ventures aveva un contratto con una società chiamata US Info Search. Il contratto ha consentito ai clienti di U. S. Info Search di accedere ai dati della società per trovare gli indirizzi delle persone che li avrebbero aiutati a determinare quali documenti giudiziari rivedere.,
Court Ventures ha venduto informazioni a una serie di terze parti, tra cui un “servizio truffatore vietnamita”, che ha quindi fornito ai propri clienti l’opportunità di cercare informazioni personali degli americani, incluse informazioni finanziarie e numeri di previdenza sociale, che sono stati poi utilizzati per il furto di identità in molti casi.
Come spiega Experian, ” Dopo l’acquisizione da parte di Experian di Court Ventures, il Servizio segreto degli Stati Uniti ci ha notificato che Court Ventures era stata e stava continuando a rivendere i dati da un database di ricerca di informazioni degli Stati Uniti a una terza parte, probabilmente impegnata in attività illegali., Il sospetto in questo caso si è presentato come un legittimo proprietario di affari e ha ottenuto l’accesso ai dati di ricerca di informazioni negli Stati Uniti attraverso iniziative giudiziarie prima del momento in cui Experian ha acquisito la società.”Experian sostiene che nessun database Experian è stato violato; I database di US Info Search erano la fonte delle informazioni sui consumatori.
Alcune fonti di notizie citano 200 milioni di record violati in questo incidente, che è continuato per più di 10 mesi dopo che Experian ha acquisito Court Ventures, anche se DataBreaches.,net riporta che 200 milioni è la cifra che rappresenta il numero totale di record memorizzati nel database che è stato violato. Il numero effettivo di record esposti, secondo Experian, è sconosciuto, ma si ritiene che sia molto più basso.
Altri importanti esempi di violazione dei dati
Mentre l’incidente Experian / Court Ventures è spesso citato come la più grande violazione dei dati nella storia, ci sono certamente molte altre violazioni dei dati che hanno guadagnato il riconoscimento diffuso come avere un impatto sostanziale, o al minimo, minaccia di impatto potenzialmente significativo, sui consumatori.,
Nel 2008 e nel 2009, Heartland Payment Systems ha subito una violazione dei dati con conseguente compromesso di 130 milioni di record. Un processore di pagamento basato sul New Jersey, i dati di Heartland Payment Systems sono stati violati attraverso malware che è stato piantato sulla rete di Heartland, registrando i dati delle carte di credito come è arrivato dai rivenditori, rapporti di Tom’s Guide. Questi dati, ottenuti attraverso i servizi di elaborazione dei pagamenti di Heartland per oltre 250.000 aziende, sono stati quindi esposti ai criminali informatici. Questa violazione dei dati è considerato come il più grande truffa carta di credito nella storia.
Ardesia.,com visualizza le più grandi violazioni dei dati nella storia dal 2005 in un’infografica che illustra se le violazioni sono state il risultato di hack, pubblicazione accidentale, lavori interni, computer persi o rubati, supporti persi o rubati, scarsa sicurezza, virus o cause sconosciute.
La maggior parte delle più grandi violazioni registrate è stata causata da attacchi di hacking, mentre una delle prime violazioni dei dati segnalate, che ha colpito AOL e compromesso 92 milioni di record nel 2005, è stata segnalata come inside job. Un’altra violazione AOL nel 2006 ha provocato la pubblicazione accidentale di dati sensibili; questa violazione compromesso 20 milioni di record.
Una violazione dei dati che colpisce l’esercito degli Stati Uniti è un’altra notevole eccezione alla regola, con 76 milioni di record compromessi nel 2009 come risultato di supporti persi o rubati., Altre importanti violazioni dei dati non precedentemente discusse includono:
- TK/TJ Maxx: 94 milioni di record compromessi nel 2007
- Sony PlayStation Network: 77 milioni di record compromessi nel 2010
- Sony Online Entertainment: 24.,14
- Home Depot: 56 milioni di dischi compromessa nel 2014
- JP Morgan Chase: 76 milioni di dischi compromessa nel 2014
- Inno: 80 milioni di dischi compromessa nel 2015
- Yahoo: Un miliardo di record compromessa nel 2016
- Radice Profonda Analytics: 198 milioni di elettori record nel 2017
Questo tipo di dati, soprattutto alla luce del fatto che la maggior parte di queste violazioni sono svolte da parte di hacker, indica che le violazioni dei dati stanno diventando sempre più diffusa – e avere un impatto molto più grande, compromettere milioni di record contenenti consumatori sensibili, società, o dati dell’utente.,
Con anche le più grandi aziende del mondo che soffrono di enormi violazioni dei dati, le aziende moderne richiedono un approccio completo e completo alla protezione e alla sicurezza dei dati. Gli approcci reattivi di ieri semplicemente non lo taglieranno nel moderno panorama delle minacce. Se vuoi saperne di più sulle violazioni dei dati, leggi la nostra lista delle prime 10 violazioni dei dati di produzione nel 21st century
Data Breach Insurance
Secondo 2018 research, il costo medio per record perso in una violazione dei dati è $148. I costi totali medi di una violazione è di million 3,86 milioni., Anche una piccola impresa con 1.000 record persi potrebbe vedere i costi nelle decine di migliaia.
Al fine di mitigare il rischio che arriva con la perdita di dati, molte aziende stanno ora acquistando l’assicurazione violazione dei dati.
Tipi di Data Breach Insurance
First-Party Insurance
Ci sono molte conseguenze diverse che si verificano a seguito di una violazione dei dati — ognuno con il proprio costo., Dall’invio di notifiche al recupero dei dati, tempo e denaro saranno spesi in quantità che potrebbero schiacciare qualsiasi attività commerciale.
Prima parte dell’assicurazione copre queste spese, tra cui:
- di Notifica a tutti gli interessati
- i Costi di indagare i dettagli della violazione
- Fielding richieste di informazioni da tutte le parti interessate
- Strumenti per aiutare le parti interessate (ad esempio, di credito di segnalazione)
di Terze Parti Assicurazione
utilizzato Principalmente da imprenditori e professionisti, di terze parti assicurazione copre coloro che lavorano con le aziende che potrebbero essere violato., Aziende e professionisti assunti per svolgere compiti tecnici (installazione hardware, software, ecc.) può essere oggetto di azioni legali nel caso in cui la parte assumente abbia una violazione dei dati. Le spese coperte possono includere cose come le spese legali/giudiziarie e gli insediamenti.
Risorse per la difesa e la prevenzione delle violazioni dei dati
Con il numero sempre crescente di minacce alla sicurezza per le imprese, le piccole imprese e la sicurezza personale, la difesa e la prevenzione delle violazioni dei dati è avanzata di conseguenza., Soluzioni moderne che offrono grande protezione e un approccio più proattivo alla sicurezza per garantire la sicurezza delle informazioni sensibili. Le seguenti risorse offrono ulteriori informazioni sull’avanzamento della protezione dei dati e preziosi suggerimenti per prevenire le violazioni dei dati.
I membri del Comitato per l’energia e il commercio della Camera dei Rappresentanti degli Stati Uniti hanno avanzato un disegno di legge che affronta l’aumento della minaccia del crimine informatico per i consumatori., “La Data Security and Breach Notification Act è una soluzione bipartisan per affrontare il crescente problema dei crimini informatici e proteggere le informazioni vulnerabili dai criminali. La legislazione stabilisce un regime di sicurezza a livello nazionale per la protezione dei dati e la notifica delle violazioni.”
Il rapporto annuale di indagini sulla violazione dei dati di Verizon è diventato uno dei preferiti del settore della sicurezza per le sue valutazioni su migliaia di violazioni dei dati che indaga con l’aiuto del Servizio segreto degli Stati Uniti e di diverse organizzazioni di sicurezza partner., Ogni anno il DBIR si propone di analizzare le principali tendenze in violazioni dei dati, vittime di essere mirati, modelli di attacco, e altro ancora.
DataLossDB è un progetto di ricerca open source mantenuto dalla comunità che copre le violazioni dei dati divulgate pubblicamente in tutto il mondo. Il sito fornisce dettagli sugli incidenti di perdita di dati e analisi delle tendenze storiche di violazione dei dati.
IT Business Edge offre una presentazione che illustra 8 modi per prevenire le violazioni dei dati, inclusi suggerimenti come l’istituzione di consapevolezza della sicurezza degli utenti finali, l’esecuzione di valutazioni periodiche delle vulnerabilità e altre tattiche utili.,
Data Breach Oggi è una risorsa di notizie multimediali e una solida fonte di informazioni sulle ultime violazioni dei dati, il loro impatto e le strategie per impedire alle aziende di cadere vittima di criminali informatici.
Data Breach Watch è un’altra risorsa che segnala le violazioni dei dati scoperte, le notizie e le tendenze che hanno un impatto sia sui consumatori che sulle aziende in ogni verticale.
The Global Privacy & Security Compliance Law Blog è una risorsa eccellente per le aziende di fronte a norme di sicurezza rigorose e in continua evoluzione e requisiti di conformità.,
The Hill dà uno sguardo critico alle pratiche di prevenzione delle violazioni dei dati alla luce delle statistiche allarmanti sul numero di violazioni dei dati e le loro successive fallout nel 2014. Come questo articolo sottolinea, il numero di violazioni dei dati che hanno coinvolto 100 milioni di record dei clienti o più raddoppiato nel 2014. Infatti, un miliardo di record di dati sono stati persi o rubati nel 2014, un aumento del 71 per cento rispetto al 2013. “È tempo che i dirigenti e i professionisti della sicurezza delle informazioni accettino il fatto che le loro aziende saranno violate e inizino a pensare fuori dagli schemi quando si tratta di sicurezza dei dati., Negare questa verità significa non accettare la realtà.”
Questo articolo del New York Times discute le strategie per ridurre al minimo il rischio di una violazione dei dati alla luce delle principali violazioni che colpiscono alcune delle più grandi aziende del mondo nella storia recente. Un suggerimento, ad esempio, è ridurre al minimo o eliminare l’archiviazione non necessaria dei dati. “Le aziende devono anche riflettere attentamente su quali dati stanno raccogliendo e archiviando., Mantenendo molte informazioni sensibili, mettono se stessi e i loro clienti a un rischio considerevole – e in alcuni casi inutilmente maggiore-rispetto a se avessero cancellato i dati o non li avessero mai raccolti. Per fare un esempio sorprendente, gli esperti di sicurezza dicono che non c’era assolutamente alcun motivo per Target di aver memorizzato i numeri di identificazione personale a quattro cifre, o PIN, delle carte di debito dei loro clienti.”
Tom’s IT Pro riporta nuovi strumenti e tecnologie per prevenire le violazioni dei dati in seguito al SecureWorld Expo 2014.,
Mentre nessuna azienda vuole subire una violazione dei dati, gli operatori sanitari e i loro soci in affari rischiano di perdere ancora di più da una violazione dei dati, con sanzioni ai sensi dell’HIPAA per aver protetto in modo inadeguato le informazioni sulla salute personale. CIO dà un’occhiata ai rischi di una violazione dei dati nel settore sanitario, offrendo 12 suggerimenti per prevenire una violazione dei dati sanitari.
Secondo questo articolo di TechTarget, ” L’assunzione di violazione è la nuova norma.,”L’articolo continua a descrivere come questo cambiamento critico nel pensiero viene utilizzato per creare politiche e protocolli di protezione delle violazioni dei dati più rigorosi e completi.
Come sottolineano molte di queste fonti, il 2014 è stato un anno da record per le violazioni dei dati, rinnovando l’attenzione sulla necessità di metodi migliori per prevenire e rispondere alla (inevitabile) violazione dei dati. Questa formazione webinar di 60 minuti da Bank Info Security discute “Il mutevole panorama delle violazioni dei dati & Protezione dei consumatori nel 2015.”Il webinar completo sarà presto disponibile on-demand.,
Experian stessa è stata sottoposta ai pericoli delle conseguenze di una violazione dei dati e ha rilasciato la sua quinta previsione annuale del settore delle violazioni dei dati per 2018. Il rapporto fornisce una panoramica delle tendenze sulla violazione dei dati e delle prospettive per il 2018 sottolineando la necessità per le aziende di disporre di un piano di risposta alla violazione dei dati.
Holland & Knight dà un’occhiata a “Come le recenti violazioni dei dati stanno cambiando il volto della sicurezza informatica per il settore privato.,”
Noi di Digital Guardian copriamo regolarmente il tema delle violazioni dei dati e forniamo informazioni sia sulla prevenzione che sulla risposta a una violazione dei dati. In questa carrellata di esperti, chiediamo a 30 esperti di sicurezza dei dati di condividere il passo successivo più importante da compiere in seguito a una violazione dei dati. In un’altra carrellata, abbiamo chiesto a 27 esperti di sicurezza dei dati le loro informazioni sui modi più convenienti in cui le startup possono proteggersi dalle violazioni dei dati. Per aiutare i vostri dipendenti con la consapevolezza informatica, abbiamo anche creato un kit di consapevolezza Cybersecurity., Assicurati di seguire il nostro blog per aggiornamenti sulle ultime informazioni sulla sicurezza dei dati, ricerche e discussioni e visita la nostra sezione risorse per report di analisti, casi di studio, schede tecniche e altre risorse sulla prevenzione delle violazioni dei dati e sulla sicurezza dei dati.
Tag: violazioni dei dati