ponieważ fala naruszeń ochrony danych nadal spada na firmy, spójrzmy wstecz na niektóre z największych i najbardziej szkodliwych naruszeń ochrony danych w historii. Czytaj dalej, aby zapoznać się z historycznymi informacjami na temat naruszeń w czasie, a także z zasobami umożliwiającymi zapobieganie naruszeniom danych.
TechTarget definiuje naruszenie danych jako ” incydent, w którym poufne, chronione lub poufne dane zostały potencjalnie wyświetlone, skradzione lub wykorzystane przez osobę nieuprawnioną do tego., Naruszenia danych mogą obejmować informacje o kartach płatniczych( PCI), dane osobowe (PHI), dane osobowe (PII), tajemnice handlowe lub własność intelektualną.”Ale jak długo naruszenia danych były problemem dla firm i konsumentów i jaki wpływ miały naruszenia danych w całej historii?
przyczyny naruszeń ochrony danych
zdobyły powszechną uwagę, ponieważ firmy różnej wielkości coraz bardziej polegają na danych cyfrowych, przetwarzaniu w chmurze i mobilności pracowników., Dzięki wrażliwym danym biznesowym przechowywanym na lokalnych maszynach, korporacyjnych bazach danych i serwerach w chmurze łamanie danych firmy stało się tak proste – lub tak złożone – jak uzyskanie dostępu do zastrzeżonych sieci.
wycieki danych nie zaczęły się, gdy firmy zaczęły przechowywać chronione dane cyfrowo. W rzeczywistości naruszenia danych istnieją tak długo, jak osoby fizyczne i firmy prowadziły zapisy i przechowywały prywatne informacje., Zanim przetwarzanie stało się powszechne, naruszenie danych może być czymś tak prostym, jak przeglądanie dokumentacji medycznej danej osoby bez autoryzacji lub znalezienie poufnych dokumentów, które nie zostały prawidłowo usunięte. Mimo to, ujawnione publicznie naruszenia danych wzrosła częstotliwość w 1980 roku, aw 1990 i na początku 2000 roku, świadomość publiczna o potencjale naruszenia danych zaczął rosnąć.
przepisy i regulacje, takie jak HIPAA lub PCI Data Security Standard, są tworzone w celu zapewnienia wytycznych dla firm i organizacji zajmujących się niektórymi rodzajami wrażliwych informacji konsumenckich., Przepisy te zapewniają ramy dla wymaganych zabezpieczeń, przechowywania i wykorzystywania praktyk w zakresie przetwarzania wrażliwych informacji, ale przepisy te nie istnieją we wszystkich branżach, ani nie definitywnie powstrzymują naruszeń danych.
większość informacji na temat naruszenia danych koncentruje się na okresie od 2005 do dziś. Wynika to w dużej mierze z postępu technologii i rozprzestrzeniania się danych elektronicznych na całym świecie, co sprawia, że naruszenia danych są głównym problemem zarówno dla przedsiębiorstw, jak i konsumentów., Dzisiejsze naruszenia danych mogą mieć wpływ na setki tysięcy-często miliony-indywidualnych konsumentów, a nawet na więcej indywidualnych rekordów-wszystko to w wyniku jednego ataku na jedną firmę.
4 typowe rodzaje naruszeń ochrony danych
gdy duże organizacje „tracą” lub przypadkowo ujawniają dane, często dzieje się to poprzez hakowanie, zaniedbanie lub jedno i drugie. Istnieje jednak kilka innych rodzajów utraty danych i / lub uszkodzenia, które zostałyby sklasyfikowane jako „naruszenie.”Spójrzmy na cztery dodatkowe rodzaje naruszeń.
Ransomware to nazwa złośliwego oprogramowania, które uzyskuje dostęp i blokuje dostęp do ważnych danych (np. plików, Systemów). Ataki te najczęściej kierowane są do firm. Pliki i / lub systemy są blokowane i wymagana jest pewna opłata (najczęściej w postaci Bitcoina lub innych kryptowalut).
złośliwe oprogramowanie
Malware to każde oprogramowanie przeznaczone do uszkodzenia plików komputerowych i / lub systemów., Jak na ironię, złośliwe oprogramowanie często maskuje się jako ostrzeżenie przed złośliwym oprogramowaniem, próbując przekonać użytkowników do pobrania samych typów oprogramowania wymienionych w komunikacie „Ostrzeżenie”.
Phishing
Phishing ma miejsce, gdy ktoś lub coś naśladuje zaufany, renomowany podmiot w celu zbierania poufnych danych(często bankowych lub wysoce osobistych). Ataki te nie dotyczą wyłącznie Internetu., Typowe metody oszustw phishingowych mogą obejmować:
- wyskakujące okienko w przeglądarce
- e-mail z linkiem
- osoba przez telefon podająca się za przedstawiciela renomowanej firmy
Denial-of-Service (DoS)
naruszenie typu denial-of-service (DoS) zasadniczo odbiera dostęp do stron internetowych i stron internetowych. Gdy dzieje się to na dużą skalę, jest to znane jako rozproszona odmowa usługi (DDoS). Te ataki na dużą skalę mogą zakłócić dużą część witryn internetowych w niektórych obszarach., Jednym z największych ataków DDoS na rekord jest atak 2016 na Dyn, który uczynił znaczną część wschodniego USA dostęp do Internetu praktycznie bezużyteczny przez kilka godzin. Największy i najnowszy atak DDoS miał miejsce na Githubie w lutym 2018 roku.
ile wycieków danych występuje?
the Privacy Rights Clearinghouse, który informuje o naruszeniach danych mających wpływ na konsumentów, utrzymuje chronologię naruszeń danych i naruszeń bezpieczeństwa sięgającą 2005 roku., Naruszenia danych zgłoszone przez Privacy rights Clearinghouse obejmują naruszenia, w których naruszone informacje ” obejmują elementy danych przydatne złodziejom tożsamości ,takie jak numery ubezpieczenia społecznego, numery kont i numery prawa jazdy.”
jednak niektóre naruszenia, które nie zagrażają tego typu wrażliwym informacjom, są również zgłaszane w celu zapewnienia szerokiego obrazu różnorodności i częstotliwości naruszeń danych. Ponadto zgłoszone tutaj naruszenia danych obejmują tylko te zgłoszone w Stanach Zjednoczonych, a nie incydenty w innych krajach.,
większość historycznych Rachunków dokument naruszenia od 2005 roku dalej
podczas naruszenia danych z pewnością miało miejsce przed 2005, większość największych naruszeń danych zarejestrowanych w historii są zgłaszane w 2005 lub później. Wynika to z faktu, że liczba danych na świecie rośnie wykładniczo z roku na rok, co daje cyberprzestępcom większą możliwość ujawnienia ogromnych ilości danych w jednym naruszeniu.
rozważmy te prognozy z raportu CSC z 2012 r.:
- do 2020 r. ponad jedna trzecia wszystkich danych będzie żyć w chmurze lub przechodzić przez nią.
- w 2020 r. produkcja danych jest 44 razy większa niż w 2009 r.; eksperci szacują 4300-procentowy wzrost rocznego generowania danych do 2020 r.
- podczas gdy osoby fizyczne są odpowiedzialne za większość tworzenia danych( 70 procent), 80 procent wszystkich danych jest przechowywanych przez przedsiębiorstwa.
w samym 2005 roku, 136 naruszenia danych zostały zgłoszone przez Privacy rights Clearinghouse., Od 2005 r. upubliczniono ponad 4500 naruszeń danych, a ponad 816 milionów pojedynczych rekordów zostało naruszonych. Ze względu na to, że raporty o naruszeniach praw do prywatności dotyczące naruszeń, dla których liczba rekordów naruszonych jest nieznana i nie jest kompletną kompilacją wszystkich danych dotyczących naruszeń, rzeczywista łączna liczba rekordów naruszonych w wyniku naruszenia danych jest prawdopodobnie znacznie wyższa. Na przykład raport Verizon Data Breach Investigations z 2015 r. obejmował ponad 2100 naruszeń ochrony danych, w których tylko w 2014 r.ujawniono ponad 700 milionów rekordów.,
liczba naruszeń danych stała się większa i wpływ
kilku ekspertów i innych mediów próbowało wymienić największe naruszenia danych w historii. Według firmy Statista, która informuje o liczbie naruszeń i rekordów ujawnionych w Stanach Zjednoczonych od 2005 r., liczba cyberataków wykazuje tendencję wzrostową. W 2005 roku w Stanach Zjednoczonych zgłoszono 157 naruszeń danych, z czego 66,9 mln ujawniono. W 2014 r. zgłoszono 783 naruszenia danych, a co najmniej 85,61 mln rekordów ujawniono, co stanowi wzrost o prawie 500 procent w porównaniu z 2005 r., Liczba ta wzrosła ponad dwukrotnie w ciągu trzech lat do 1579 zgłoszonych naruszeń w 2017 roku. Są to liczby Statisty, które są nieco konserwatywne w porównaniu do raportów Verizon DBIR lub innych standardowych raportów o naruszeniach danych.
trend nie rośnie jednak konsekwentnie. Na przykład w 2009 r. liczba całkowitych naruszeń danych zgłoszonych w USA spadła do 498, z 656 w 2008 r. To powiedziawszy, łączna liczba pojedynczych rekordów narażonych gwałtownie wzrosła, z 35.,7 mln w 2008 r. do 222,5 mln w 2009 r. Dane te wskazują, że chociaż wystąpiło mniej naruszeń, poszczególne naruszenia były większe, co skutkowało większą liczbą rekordów narażonych na naruszenie.
odnotowano również spadek liczby przypadków naruszenia ochrony danych w latach 2010-2011, w 2010 r.odnotowano 662 przypadki naruszenia ochrony danych, a w 2011 r. odnotowano 419 przypadków naruszenia ochrony danych., Od 2011 r.liczba naruszeń ochrony danych zgłoszonych w Stanach Zjednoczonych stale rośnie:
- 614 naruszeń ochrony danych zgłoszonych w 2013 r.
- 783 naruszeń ochrony danych zgłoszonych w 2014 r.
- 1 093 naruszeń ochrony danych zgłoszonych w 2016 r.
- 1 579 naruszeń ochrony danych zgłoszonych w 2017 r.
Forbes donosi, że w ciągu ostatnich 10 lat ponad 300 naruszeń danych skutkujących kradzieżą 100 000 lub więcej rekordów. A to tylko niektóre z naruszeń danych, które zostały publicznie zgłoszone.,
największe naruszenie danych w historii
największe naruszenie danych w historii pośrednio dotyczyło Experian, jednej z trzech głównych agencji raportowania kredytowego. Experian nabył firmę o nazwie Court Ventures, która zbiera i agreguje informacje z rejestrów publicznych, w marcu 2012. W momencie przejęcia, Court Ventures miał umowę z firmą o nazwie U. S. Info Search. Umowa umożliwiła klientom us Info Search dostęp do danych firmy w celu znalezienia adresów osób fizycznych, które pomogłyby im określić, które zapisy sądowe należy przejrzeć.,
Court Ventures sprzedał informacje wielu stronom trzecim, w tym „wietnamskiemu oszustowi”, który następnie zapewnił swoim klientom możliwość wyszukania danych osobowych Amerykanów, w tym informacji finansowych i numerów ubezpieczenia społecznego, które następnie były wykorzystywane do kradzieży tożsamości w wielu przypadkach.
jak wyjaśnia Experian, ” po przejęciu przez Experian Court Ventures, Tajne służby USA powiadomiły nas, że Court Ventures był i nadal odsprzedaje dane z amerykańskiej bazy danych wyszukiwania Informacji stronie trzeciej, prawdopodobnie zaangażowanej w nielegalną działalność., Podejrzany w tej sprawie udawał legalnego właściciela firmy i uzyskał dostęp do danych wyszukiwania informacji w USA za pośrednictwem przedsięwzięć sądowych przed przejęciem firmy przez Experian.”Experian utrzymuje, że żadne bazy danych Experian nie zostały naruszone; bazy danych us Info Search były źródłem informacji dla konsumentów.
niektóre źródła podają 200 milionów rekordów naruszonych w tym incydencie, który trwał ponad 10 miesięcy po przejęciu przez Experian przedsięwzięć sądowych, chociaż nie jest znany.,net donosi, że 200 milionów to liczba reprezentująca całkowitą liczbę rekordów przechowywanych w bazie danych, które zostały naruszone. Rzeczywista liczba ujawnionych rekordów, według Experiana, nie jest znana, ale uważa się, że jest znacznie niższa.
inne główne przykłady naruszenia danych
chociaż incydent Experian / Court Ventures jest często cytowany jako największe naruszenie danych w historii, z pewnością istnieje wiele innych naruszeń danych, które zyskały powszechne uznanie jako mające znaczący wpływ, lub co najmniej zagrożenie potencjalnie znaczącym wpływem, na konsumentów.,
w latach 2008 i 2009 w Heartland Payment Systems doszło do naruszenia danych, w wyniku którego doszło do kompromisu 130 milionów rekordów. Procesor płatności z siedzibą w New Jersey, dane Heartland Payment Systems zostały naruszone przez złośliwe oprogramowanie, które zostało podłożone w sieci Heartland, rejestrując dane karty kredytowej, jak dotarły od sprzedawców-donosi Tom ' s Guide. Dane te, uzyskane za pośrednictwem usług przetwarzania płatności Heartland dla ponad 250 000 firm, zostały następnie narażone na cyberprzestępców. To naruszenie danych jest uważane za największy przekręt karty kredytowej w historii.
Slate.,com wizualizuje największe naruszenia danych w historii od 2005 roku w infografice, która pokazuje, czy naruszenia były wynikiem włamań, przypadkowej publikacji, pracy wewnątrz, utraconych lub skradzionych komputerów, utraconych lub skradzionych mediów, słabego bezpieczeństwa, wirusów lub nieznanych przyczyn.
większość największych naruszeń odnotowano w wyniku ataków hakerskich, podczas gdy jeden z najwcześniej zgłoszonych naruszeń danych, wpływ AOL i narażenie 92 milionów rekordów w 2005 roku, został zgłoszony jako wewnątrz pracy. Kolejne naruszenie AOL w 2006 roku wynikało z przypadkowego opublikowania poufnych danych; naruszenie to zagroziło 20 milionom rekordów.
naruszenie danych wpływających na wojsko USA jest kolejnym znaczącym wyjątkiem od reguły.76 milionów rekordów zagrożone w 2009 roku w wyniku utraconych lub skradzionych mediów., Inne znaczące poważne naruszenia danych, o których wcześniej nie dyskutowano, to:
- TK/TJ Maxx: 94 miliony rekordów skompromitowanych w 2007 roku
- Sony PlayStation Network: 77 milionów rekordów skompromitowanych w 2010 roku
- Sony Online Entertainment: 24.,14
- Home Depot: 56 milionów rekordów skompromitowanych w 2014 r.
- JP Morgan Chase: 76 milionów rekordów skompromitowanych w 2014 r.
- Anthem: 80 milionów rekordów skompromitowanych w 2015 r.
- Yahoo: miliard rekordów skompromitowanych w 2016 r.
- Deep Root Analytics: 198 milionów rekordów wyborców w 2017 r.
te dane, szczególnie w świetle faktu, że większość naruszenia te są przeprowadzane przez hakerów, co oznacza, że naruszenia danych stają się coraz bardziej powszechne – i mają znacznie większy wpływ, narażając miliony rekordów zawierających wrażliwe dane konsumentów, firm lub użytkowników.,
ponieważ nawet największe firmy na świecie cierpią na masowe naruszenia ochrony danych, nowoczesne przedsiębiorstwa wymagają kompleksowego, kompleksowego podejścia do ochrony i bezpieczeństwa danych. Wczorajsze reakcje po prostu tego nie zniosą we współczesnym krajobrazie zagrożeń. Jeśli chcesz dowiedzieć się więcej o naruszeniach danych, przeczytaj naszą listę 10 najlepszych naruszeń danych produkcyjnych w XXI wieku
ubezpieczenie naruszenia danych
według badań 2018, średni koszt na rekord utracony w naruszeniu danych wynosi $148. Średni całkowity koszt naruszenia wynosi 3,86 miliona dolarów., Nawet mała firma z 1000 utraconych rekordów może zobaczyć koszty w dziesiątkach tysięcy.
aby zmniejszyć ryzyko związane z utratą danych, wiele firm kupuje teraz ubezpieczenie od naruszenia danych.
rodzaje ubezpieczenia od naruszenia danych
ubezpieczenie własne
istnieje wiele różnych konsekwencji, które występują w wyniku naruszenia danych-każdy z własnym kosztem., Od wysyłania powiadomień po odzyskiwanie danych, czas i pieniądze zostaną wydane w ilościach, które mogą zniszczyć każdą firmę.
ubezpieczenie własne pokrywa te wydatki, w tym:
- Powiadamianie wszystkich poszkodowanych stron
- koszty dochodzenia szczegółów naruszenia
- zapytania od wszystkich poszkodowanych stron
- narzędzia pomagające poszkodowanym stronom (np. raportowanie kredytowe)
ubezpieczenia osób trzecich
używane głównie przez wykonawców i informatyków, ubezpieczenia osób trzecich obejmują osoby, które pracują z firmami, które mogą zostać zhakowane., Firmy i profesjonaliści zatrudnieni do wykonywania zadań technicznych (instalacja sprzętu, oprogramowania itp.) może podlegać procesom sądowym w przypadku naruszenia danych przez stronę zatrudniającą. Pokrywane wydatki mogą obejmować takie rzeczy, jak koszty adwokackie/sądowe i rozliczenia.
Ochrona i zapobieganie naruszeniom danych
wraz z rosnącą liczbą zagrożeń bezpieczeństwa dla przedsiębiorstw, małych firm i bezpieczeństwa osobistego, ochrona i zapobieganie naruszeniom danych rozwinęły się odpowiednio., Nowoczesne rozwiązania zapewniające doskonałą ochronę i bardziej proaktywne podejście do bezpieczeństwa w celu zapewnienia bezpieczeństwa poufnych informacji. Poniższe zasoby oferują dodatkowe informacje na temat zaawansowania ochrony danych i cenne wskazówki dotyczące zapobiegania naruszeniom danych.
, „Ustawa o bezpieczeństwie danych i powiadamianiu o naruszeniach jest dwupartyjnym rozwiązaniem w celu rozwiązania rosnącego problemu cyberprzestępczości i ochrony wrażliwych informacji przed przestępcami. Przepisy ustanawiają ogólnokrajowy system bezpieczeństwa w zakresie ochrony danych i powiadamiania o naruszeniach.”
coroczny Raport Verizon Data Breach Investigations stał się ulubieńcem branży bezpieczeństwa ze względu na oceny tysięcy naruszeń danych, które bada z pomocą amerykańskich służb specjalnych i kilku partnerskich organizacji zajmujących się bezpieczeństwem., Każdego roku dbir analizuje główne trendy w zakresie naruszeń danych, celowania ofiar, wzorców ataków i innych.
DataLossDB to projekt badawczy open source, utrzymywany przez społeczność, który obejmuje publicznie ujawnione naruszenia danych na całym świecie. Strona zawiera szczegóły dotyczące incydentów utraty danych, a także analizę historycznych trendów dotyczących naruszenia danych.
IT Business Edge udostępnia pokaz slajdów ilustrujący 8 sposobów zapobiegania naruszeniom danych, w tym wskazówki, takie jak informowanie użytkowników końcowych o bezpieczeństwie, przeprowadzanie regularnych ocen luk w zabezpieczeniach i inne pomocne taktyki.,
Data Breach Today to multimedialne źródło informacji i solidne źródło informacji na temat najnowszych naruszeń danych, ich wpływu i strategii zapobiegania firmom padającym ofiarą cyberprzestępców.
Data Breach Watch to kolejny zasób informujący o wykrytych naruszeniach danych, wiadomościach i trendach wpływających zarówno na konsumentów, jak i firmy w każdym pionie.
Globalny blog dotyczący Prywatności& Security Compliance Law Blog jest doskonałym źródłem informacji dla firm, które borykają się z surowymi i ciągle zmieniającymi się przepisami dotyczącymi bezpieczeństwa i wymogami zgodności.,
The Hill zajmuje krytyczne spojrzenie na praktyki zapobiegania naruszeniom danych w świetle alarmujących statystyk dotyczących liczby naruszeń danych i ich następstw w 2014 roku. Jak wskazuje ten artykuł, liczba naruszeń danych, które obejmowały 100 milionów rekordów klientów lub więcej podwoiła się w 2014. W rzeczywistości miliard rekordów danych został utracony lub skradziony w 2014 roku, co oznacza wzrost o 71 procent w stosunku do 2013 roku. „Nadszedł czas, aby kierownictwo i specjaliści ds. bezpieczeństwa informacji zaakceptowali fakt, że ich firmy zostaną naruszone i zaczęli myśleć nieszablonowo, jeśli chodzi o bezpieczeństwo danych., Zaprzeczanie tej prawdzie oznacza nie akceptowanie rzeczywistości.”
Ten artykuł z New York Times omawia strategie minimalizacji ryzyka naruszenia danych w świetle poważnych naruszeń mających wpływ na niektóre z największych firm na świecie w najnowszej historii. Jedną z sugestii jest na przykład zminimalizowanie lub wyeliminowanie zbędnego przechowywania danych. „Firmy muszą również dokładnie przemyśleć, jakie dane gromadzą i przechowują., Przechowując wiele poufnych informacji, narażają siebie i swoich klientów na znaczne – a w niektórych przypadkach niepotrzebnie większe-ryzyko, niż gdyby usunęli dane lub nigdy ich nie zebrali. Aby wziąć jeden zaskakujący przykład, eksperci ds. bezpieczeństwa twierdzą, że nie było absolutnie żadnego powodu, aby Target przechowywał czterocyfrowe osobiste numery identyfikacyjne lub piny kart debetowych swoich klientów.”
Tom ' s IT Pro informuje o nowych narzędziach i technologiach zapobiegania naruszeniom danych po targach SecureWorld 2014.,
chociaż żadna firma nie chce ucierpieć z powodu naruszenia danych, dostawcy usług medycznych i ich współpracownicy biznesowi mogą stracić jeszcze więcej z powodu naruszenia danych, z karami na mocy HIPAA za niedostateczną ochronę danych osobowych. CIO przygląda się ryzyku naruszenia danych w branży opieki zdrowotnej, oferując wskazówki 12, aby zapobiec naruszeniu danych opieki zdrowotnej.
zgodnie z tym artykułem z TechTarget, „założenie naruszenia jest nową normą.,”Artykuł opisuje, w jaki sposób ta krytyczna zmiana myślenia jest wykorzystywana do tworzenia bardziej rygorystycznych, kompleksowych zasad ochrony przed naruszeniem danych i protokołów.
jak wskazuje wiele z tych źródeł, 2014 był rekordowym rokiem dla naruszeń ochrony danych, ponownie koncentrując się na potrzebie lepszych metod zarówno zapobiegania (nieuniknionemu) naruszeniu ochrony danych, jak i reagowania na nie. To 60-minutowe szkolenie internetowe z bezpieczeństwa informacji bankowych omawia „zmieniający się Krajobraz naruszeń danych & Ochrona Konsumentów w 2015 roku.”Pełne webinarium będzie wkrótce dostępne na żądanie.,
Sam Experian został poddany niebezpieczeństwom związanym z naruszeniem danych i opublikował piątą roczną prognozę branży naruszenia danych na 2018. Raport zawiera przegląd trendów w zakresie naruszeń danych i perspektyw na rok 2018, podkreślając jednocześnie potrzebę posiadania przez firmy planu reagowania na naruszenia danych.
Holland& ,”
W Digital Guardian regularnie omawiamy temat naruszeń danych i dostarczamy informacji na temat zapobiegania naruszeniom danych i reagowania na nie. W tej eksperckiej łapance prosimy 30 ekspertów ds. bezpieczeństwa danych o podzielenie się najważniejszym kolejnym krokiem, który należy podjąć w następstwie naruszenia danych. W kolejnym podsumowaniu poprosiliśmy 27 ekspertów ds. bezpieczeństwa danych o ich wgląd w najbardziej opłacalne sposoby ochrony startupów przed naruszeniami danych. Aby pomóc Twoim pracownikom w świadomości cybernetycznej, stworzyliśmy również zestaw świadomości cyberbezpieczeństwa., Śledź nasz blog, aby otrzymywać najnowsze informacje na temat bezpieczeństwa danych, badań i dyskusji, a także odwiedź naszą sekcję Zasoby, aby uzyskać raporty analityczne, studia przypadków, Arkusze danych i inne zasoby dotyczące zapobiegania naruszeniom danych i bezpieczeństwa danych.
Tagi: naruszenia danych