eftersom vågen av dataöverträdelser fortsätter att krascha ner på företag, låt oss ta en titt tillbaka på några av de största och mest skadliga dataöverträdelserna på posten. Läs vidare för en historisk promenad genom överträdelser över tiden samt resurser för att förhindra dataöverträdelser.
TechTarget definierar ett databrott som ”en incident där känsliga, skyddade eller konfidentiella uppgifter potentiellt har visats, stulits eller använts av en individ obehörig att göra det., Dataöverträdelser kan omfatta betalkortsinformation (PCI), personlig hälsoinformation (PHI), personligt identifierbar information (PII), affärshemligheter eller immateriella rättigheter.”Men hur länge har dataöverträdelser varit ett problem för företag och konsumenter, och vilken typ av inverkan har dataöverträdelser haft genom historien?
ursprunget till dataöverträdelser
dataöverträdelser har fått stor uppmärksamhet eftersom företag av alla storlekar blir alltmer beroende av digitala data, molntjänster och arbetskraftens rörlighet., Med känsliga affärsdata som lagras på lokala maskiner, på företagsdatabaser och på molnservrar har det blivit så enkelt att bryta mot ett företags data – eller så komplicerat – som att få tillgång till begränsade nätverk.
dataöverträdelser började inte när företag började lagra sina skyddade data digitalt. Faktum är att dataöverträdelser har funnits så länge som individer och företag har upprätthållit register och lagrat privat information., Innan datoranvändning blev vanligt kan ett databrott vara något så enkelt som att titta på en persons medicinska fil utan tillstånd eller hitta känsliga dokument som inte var ordentligt bortskaffade. Fortfarande ökade antalet offentligt uppgivna dataöverträdelser under 1980-talet, och under 1990-talet och början av 2000-talet började allmänhetens medvetenhet om risken för dataöverträdelser öka.
lagar och förordningar som HIPAA eller PCI data Security Standard skapas för att ge riktlinjer för företag och organisationer som hanterar vissa typer av känslig konsumentinformation., Dessa förordningar utgör en ram för de nödvändiga skyddsåtgärderna, lagringen och användningsmetoderna för hantering av känslig information, men dessa regler finns inte i alla branscher, och de hindrar inte definitivt dataöverträdelser från att inträffa.
de flesta uppgifter om dataöverträdelser fokuserar på tidsperioden från 2005 till idag. Detta beror till stor del på utvecklingen av teknik och spridning av elektroniska data över hela världen, vilket gör dataöverträdelser till en stor oro för både företag och konsumenter., Dagens dataöverträdelser kan påverka hundratusentals – ofta miljontals-enskilda konsumenter, och ännu fler individuella register, allt från en enda attack på ett företag.
4 Vanliga typer av dataöverträdelser
när stora organisationer ”förlorar” eller oavsiktligt exponerar data, är det ofta genom hackning, försumlighet eller båda. Det finns dock flera andra typer av dataförlust och/eller korruption som skulle klassificeras som ett ”brott.”Låt oss ta en titt på ytterligare fyra typer av överträdelser.
Ransomware
Ransomware är namnet på skadlig programvara som får tillgång till och låser ner Tillgång till viktiga data (dvs. filer, System). Dessa attacker oftast riktar företag. Filer och / eller system är låsta och en viss avgift krävs (oftast i form av Bitcoin eller andra kryptokurvor).
Skadlig programvara
Malware är en programvara som är utformad för att skada datafiler och/eller system., Ironiskt nog maskerar malware ofta som en varning mot skadlig programvara i ett försök att övertyga användarna om att ladda ner själva typerna av programvara som nämns i” Varning ” – meddelandet.
Lösenordsfiske
nätfiske inträffar när någon eller något efterliknar en betrodd, välrenommerad enhet för att samla in känsliga uppgifter (ofta bank eller mycket personliga uppgifter). Dessa attacker är inte exklusiva för Internet., Vanliga metoder för phishing-bedrägerier kan inkludera:
- ett popup-fönster i din webbläsare
- ett e-postmeddelande med en länk
- en person i telefonen som påstår sig vara en representant för ett välrenommerat företag
Denial-of-Service (DoS)
en dos-överträdelse (denial-of-service) tar i huvudsak bort åtkomst till webbplatser och webbsidor. När detta händer i stor skala är det känt som en distribuerad denial-of-service (DDoS). Dessa storskaliga attacker kan störa en stor del av webbplatser På nätet i vissa områden., En av de största DDoS-attackerna på rekord är 2016-attacken mot Dyn som gjorde en stor del av östra USA: s internetåtkomst praktiskt taget oanvändbar i flera timmar. Den största och senaste DDoS-attacken hände med GitHub i februari 2018.
hur många dataöverträdelser inträffar?
Clearinghouse för integritetsrättigheter, som rapporterar om dataöverträdelser som påverkar konsumenterna, upprätthåller en kronologi av dataöverträdelser och säkerhetsöverträdelser som går tillbaka till 2005., De dataöverträdelser som rapporteras av Clearinghouse för integritetsrättigheter inkluderar överträdelser där informationen äventyras ” innehåller dataelement som är användbara för identitetstjuvar, såsom personnummer, kontonummer och körkortsnummer.”
men vissa överträdelser som inte äventyrar denna typ av känslig information rapporteras också för att ge en bred bild av variationen och frekvensen av dataöverträdelser. Dessutom omfattar de dataöverträdelser som rapporteras här endast de som rapporteras i USA, inte incidenter i andra länder.,
de flesta historiska konton dokument överträdelser från 2005 framåt
medan dataöverträdelser var säkert före 2005, de flesta av de största dataöverträdelser registreras i historien rapporteras 2005 eller därefter. Detta kan hänföras till det faktum att världens datavolym har ökat exponentiellt år efter år, vilket ger cyberbrottslingar en större möjlighet att avslöja massiva volymer av data i ett enda brott.
överväga dessa prognoser från en 2012 rapport från CSC:
- av 2020, över en tredjedel av alla data kommer att leva i eller passera genom molnet.
- år 2020 beräknas dataproduktionen vara 44 gånger större än 2009. experter uppskattar en ökning på 4 300 procent av den årliga dataproduktionen till 2020.
- medan individer är ansvariga för de flesta data skapande (70 procent), 80 procent av alla data lagras av företag.
enbart 2005 rapporterades 136 dataöverträdelser av Clearinghouse för integritetsrättigheter., Mer än 4 500 dataöverträdelser har offentliggjorts sedan 2005, med mer än 816 miljoner enskilda poster överträdda. Eftersom Clearinghouse rapporterar om brott mot Integritetsrättigheterna, för vilka antalet brott mot registren är okänt och inte är en omfattande sammanställning av alla brottsuppgifter, är de faktiska totala uppgifterna som överträtts till följd av dataöverträdelser sannolikt betydligt högre. Till exempel omfattade 2015 Verizon Data Breach Investigations Report över 2.100 dataöverträdelser där mer än 700 miljoner poster exponerades för året 2014 ensam.,
dataöverträdelser har blivit större i antal och påverkan
flera experter och andra medier har försökt att namnge de största dataöverträdelserna i historien. Enligt Statista, som rapporterar om antalet dataöverträdelser och register som exponeras i USA sedan 2005, är antalet cyberattacker på en uppåtgående trend. Under 2005 rapporterades 157 dataöverträdelser i USA, med 66,9 miljoner poster exponerade. Under 2014 rapporterades 783 dataöverträdelser, med minst 85,61 miljoner totala poster exponerade, vilket motsvarar en ökning med nästan 500 procent från 2005., Detta antal mer än fördubblades under tre år till 1 579 rapporterade överträdelser under 2017. Och det är Statistas nummer, som är något konservativa jämfört med Verizon dbir eller andra branschstandard dataintrång rapporter.
trenden ökar dock inte konsekvent. Under 2009 minskade till exempel antalet totala dataöverträdelser som rapporterades i USA till 498, från 656 under 2008. Med detta sagt ökade det totala antalet enskilda poster som exponerades kraftigt, från 35.,7 miljoner under 2008 till 222,5 miljoner under 2009. Dessa siffror visar att medan färre överträdelser inträffade var de enskilda överträdelserna större, vilket resulterade i ett större antal poster som exponerades per brott.
antalet dataöverträdelser som rapporterades mellan 2010 och 2011 minskade också, med 662 dataöverträdelser som rapporterades 2010 och 419 dataöverträdelser som rapporterades 2011., Sedan 2011 har antalet dataöverträdelser som rapporterats i USA ökat stadigt:
- 614 dataöverträdelser som rapporterats under 2013
- 783 dataöverträdelser som rapporterats under 2014
- 1 093 dataöverträdelser som rapporterats under 2016
- 1 579 dataöverträdelser som rapporterats under 2017
Forbes rapporterar att det under de senaste 10 åren har förekommit mer än 300 dataöverträdelser som lett till stöld av 100 000 eller fler poster. Och det är bara några av de dataöverträdelser som rapporterades offentligt.,
den största dataintrång i historien
den största dataintrång i historien indirekt involverade Experian, en av de tre viktigaste kreditupplysningsföretag. Experian förvärvade ett företag som heter Domstolen Ventures, som samlar och aggregerar information från offentliga register, i Mars 2012. Vid tidpunkten för förvärvet hade Court Ventures ett kontrakt med ett företag som heter U. S. Info Search. Kontraktet gjorde det möjligt för kunder i USA: s informationssökning att få tillgång till företagets data för att hitta individers adresser som skulle hjälpa dem att avgöra vilka domstolsposter som ska granskas.,
Court Ventures sålde information till ett antal tredje parter, inklusive en ”vietnames fraudster service”, som sedan gav sina egna kunder möjlighet att slå upp personlig information om amerikaner, inklusive finansiell information och personnummer, som sedan användes för identitetsstöld i många fall.
som Experian förklarar, ” efter Experians förvärv av Court Ventures, meddelade US Secret Service oss att Court Ventures hade varit och fortsatte att sälja data från en amerikansk Info sökdatabas till en tredje part, eventuellt engagerad i olaglig verksamhet., Den misstänkte i detta fall utgjorde som en legitim företagsägare och fick tillgång till amerikanska Informationssökdata genom Domstolsprojekt före den tid Experian förvärvade företaget.”Experian hävdar att inga Experian databaser bröts; US Info Search databaser var källan till konsumentinformation.
vissa nyhetskällor citerar 200 miljoner poster som överträtts i denna incident, som fortsatte i mer än 10 månader efter Experian förvärvade Court Ventures, även om DataBreaches.,netto rapporterar att 200 miljoner är siffran som representerar det totala antalet poster som lagrats i databasen som överträddes. Det faktiska antalet poster som exponeras, enligt Experian, är okänt, men tros vara mycket lägre.
andra stora dataintrång exempel
medan Experian / Court Ventures incident ofta citeras som den största dataintrång i historien, det finns säkert många andra dataöverträdelser som har fått utbredd erkännande som har betydande inverkan, eller åtminstone, hot om potentiellt betydande inverkan, på konsumenterna.,
under 2008 och 2009 drabbades Heartland Payment Systems av en dataöverträdelse som resulterade i en kompromiss på 130 miljoner poster. En New Jersey-baserad betalningsprocessor, Heartland Payment Systems data bröts genom skadlig kod som planterades på Heartlands nätverk, inspelning kreditkortsuppgifter som det kom från återförsäljare, Toms Guide rapporter. Dessa data, som erhållits genom Heartlands betalningstjänster för mer än 250.000 företag, exponerades sedan för cyberbrottslingar. Denna dataintrång betraktas som den största kreditkort bluff i historien.
skiffer.,com visualiserar de största dataöverträdelserna i historien sedan 2005 i en infografik som visar om överträdelser var resultatet av hackar, oavsiktlig publicering, inside jobs, förlorade eller stulna datorer, förlorade eller stulna medier, dålig säkerhet, virus eller okända orsaker.
majoriteten av de största överträdelser som registrerats berodde på hackattacker, medan en av de tidigaste rapporterade dataöverträdelserna, som påverkar AOL och äventyrar 92 miljoner poster i 2005, rapporterades som ett insiderjobb. Ett annat AOL-brott 2006 berodde på oavsiktlig publicering av känsliga uppgifter.detta brott äventyrade 20 miljoner poster.
ett databrott som påverkar den amerikanska militären är ett annat anmärkningsvärt undantag från regeln, med 76 miljoner poster äventyras under 2009 till följd av förlorade eller stulna medier., Andra anmärkningsvärda stora dataöverträdelser som inte tidigare diskuterats är:
- TK/TJ Maxx: 94 miljoner poster äventyras under 2007
- Sony PlayStation Network: 77 miljoner poster äventyras under 2010
- Sony online Entertainment: 24.,14
- Home Depot: 56 miljoner poster äventyras i 2014
- JP Morgan Chase: 76 miljoner poster äventyras i 2014
- Hymn: 80 miljoner poster äventyras i 2015
- Yahoo: en miljard poster äventyras i 2016
- Deep Root Analytics: 198 miljoner väljare poster i 2017
dessa data, särskilt mot bakgrund av det faktum att de flesta av dessa överträdelser utförs av hackare, indikerar att data bryter blir allt vanligare – och har en mycket större inverkan, vilket äventyrar miljontals poster som innehåller känsliga konsument -, företags-eller användardata.,
med även världens största företag som lider av massiva dataöverträdelser kräver moderna företag en omfattande, helcirkelformad strategi för dataskydd och säkerhet. Gårdagens reaktiva tillvägagångssätt kommer helt enkelt inte att skära det i det moderna hotlandskapet. Om du vill veta mer om dataöverträdelserna läser du vår lista över topp 10 tillverkningsdataöverträdelser under det 21: a århundradet
dataintrång försäkring
enligt 2018 forskning är den genomsnittliga kostnaden per post förlorad i en dataöverträdelse $148. De genomsnittliga totala kostnaderna för ett brott är $ 3,86 miljoner., Även ett litet företag med 1000 förlorade poster kunde se kostnader i tiotusentals.
för att minska risken som följer med dataförlust köper många företag nu dataintrång försäkring.
typer av dataintrång försäkring
första parts försäkring
det finns många olika konsekvenser som uppstår till följd av en dataöverträdelse-var och en med sin egen kostnad., Från att skicka meddelanden till att återställa data, tid och pengar kommer att spenderas i belopp som kan krossa alla företag.
första parts försäkring täcker dessa kostnader, inklusive:
- meddela alla berörda parter
- kostnader för att undersöka detaljer om överträdelsen
- Fielding förfrågningar från alla berörda parter
- verktyg för att hjälpa berörda parter (t.ex. kreditupplysning)
tredje parts försäkring
används främst av entreprenörer och IT-proffs, täcker tredje parts försäkring dem som arbetar med företag som kan hackas., Företag och yrkesverksamma som anställts för att utföra tekniska uppgifter (installera hårdvara, programvara etc.) kan bli föremål för stämningar i händelse av att anställningsparten har ett databrott. De täckta kostnaderna kan omfatta saker som advokat / domstol kostnader och bosättningar.
dataintrång försvars-och förebyggande resurser
med det ständigt ökande antalet säkerhetshot mot företag, småföretag och personlig säkerhet, dataintrång försvar och förebyggande har avancerat i enlighet därmed., Moderna lösningar som erbjuder bra skydd och en mer proaktiv inställning till säkerhet för att säkerställa säkerheten för känslig information. Följande resurser erbjuder ytterligare information om utvecklingen av dataskydd och värdefulla tips för att förhindra dataöverträdelser.
medlemmar i USA: s representanthus House Energy and Commerce Committee har avancerat ett lagförslag som tar itu med det ökade hotet om cyberbrott för konsumenterna., ”Data Security and Breach Notification Act är en tvåpartslösning för att ta itu med det växande problemet med cyberbrott och skydda sårbar information från brottslingar. I lagstiftningen fastställs ett landsomfattande säkerhetssystem för dataskydd och anmälan om brott.”
Verizons årliga dataintrång utredningsrapport har blivit en säkerhetsbransch favorit för sina bedömningar av tusentals dataöverträdelser som den undersöker med hjälp av den amerikanska Secret Service och flera partnerskap säkerhetsorganisationer., Varje år DBIR syftar till att analysera stora trender i dataöverträdelser, offer är riktade, attackmönster, och mer.
DataLossDB är en öppen källkod, community-underhållna forskningsprojekt som täcker offentligt avslöjas dataöverträdelser över hela världen. Webbplatsen ger information om dataförlustincidenter samt analys av historiska dataintrång trender.
IT Business Edge ger ett bildspel som illustrerar 8 sätt att förhindra dataöverträdelser, inklusive tips som att inrätta slutanvändarens säkerhetsmedvetenhet, utföra regelbundna sårbarhetsbedömningar och andra användbara taktik.,
dataintrång idag är en multimedia nyhetsresurs och en robust källa till information om de senaste dataöverträdelser, deras inverkan, och strategier för att förhindra företag från att falla offer för cyberbrottslingar.
Data Breach Watch är en annan resursrapportering om upptäckta databrott, nyheter och trender som påverkar både konsumenter och företag i varje vertikal.
Global Privacy& Security Compliance Law Blog är en utmärkt resurs för företag som står inför stränga och ständigt föränderliga säkerhetsföreskrifter och efterlevnadskrav.,
kullen tar en kritisk titt på förebyggande av databrott mot bakgrund av den alarmerande statistiken över antalet dataöverträdelser och deras efterföljande fall under 2014. Som denna artikel påpekar, antalet dataöverträdelser som involverade 100 miljoner kundregister eller mer fördubblats i 2014. Faktum är att en miljard dataposter antingen förlorades eller stulits i 2014, EN 71-procentig ökning över 2013. ”Det är dags att chefer och informationssäkerhetspersonal accepterar det faktum att deras företag kommer att brytas och börja tänka utanför lådan när det gäller datasäkerhet., Att vara i förnekelse av denna sanning är att inte acceptera verkligheten.”
den här artikeln från New York Times diskuterar strategier för att minimera risken för ett databrott mot bakgrund av de stora överträdelserna som påverkar några av världens största företag i den senaste historien. Ett förslag är till exempel att minimera eller eliminera onödig lagring av data. ”Företagen måste också noga tänka på vilka data de samlar in och lagrar., Genom att hålla mycket känslig information placerar de sig själva och sina kunder betydande – och i vissa fall onödigt större – risk än om de hade raderat uppgifterna eller aldrig samlat in dem. För att ta ett häpnadsväckande exempel, säkerhetsexperter säger att det fanns absolut ingen anledning för Target att ha lagrat fyrsiffriga personliga identifikationsnummer, eller PINs, av sina kunders betalkort.”
Tom ’ s IT Pro rapporterar om nya verktyg och tekniker för att förhindra dataöverträdelser efter 2014 SecureWorld Expo.,
medan inget företag vill drabbas av en dataöverträdelse, vårdgivare och deras affärspartners står att förlora ännu mer från en dataöverträdelse, med påföljder enligt HIPAA för otillräckligt skydd av personlig hälsoinformation. CIO tar en titt på riskerna med en dataöverträdelse inom hälso-och sjukvården, erbjuder 12 tips för att förhindra en hälso-och dataöverträdelse.
enligt denna artikel från TechTarget, ”antagande om brott är den nya normen.,”Artikeln fortsätter att beskriva hur denna kritiska förändring i tänkande används för att skapa strängare, omfattande dataintrång skyddspolicyer och protokoll.
som många av dessa källor påpekar var 2014 ett rekordår för dataöverträdelser, vilket förnyade fokus på behovet av bättre metoder för att både förebygga och reagera på (oundvikliga) dataöverträdelsen. Denna 60-minuters webinar utbildning från Bank Info Security diskuterar ”det föränderliga landskapet av dataöverträdelser & konsumentskydd i 2015.”Hela webinar kommer att finnas tillgänglig på begäran snart.,
Experian själv utsattes för farorna med efterdyningarna av ett databrott, och det har släppt sin femte årliga dataintrång Industry prognos för 2018. Rapporten ger en översikt över dataintrång trender och utsikterna för 2018 samtidigt som man betonar behovet av företag att ha en dataöverträdelse svarsplan.
Holland & Knight tar en titt på ”hur Senaste dataöverträdelser ändrar ansiktet på cybersäkerhet för den privata sektorn.,”
Vi på Digital Guardian täcker regelbundet ämnet dataöverträdelser och ger insikter om både att förebygga och svara på ett dataöverträdelse. I denna expert roundup ber vi 30 datasäkerhetsexperter att dela det viktigaste nästa steg du bör ta efter ett databrott. I en annan roundup frågade vi 27 datasäkerhetsexperter för sina insikter om de mest kostnadseffektiva sätten startups kan skydda sig mot dataöverträdelser. För att hjälpa dina anställda med Cyber medvetenhet, vi skapade också en cybersecurity Awareness Kit., Var noga med att följa vår blogg för uppdateringar om den senaste datasäkerhetsinformationen, forskning och diskussioner, och besök vår resursavdelning för analysrapporter, fallstudier, datablad och andra resurser om förebyggande av databrott och datasäkerhet.
taggar: dataöverträdelser