Die wahren Kosten einer Datenschutzverletzung

8th August 2022

Ekaterina Khrustaleva, COO von ImmuniWeb, zeigt die Risiken und Konsequenzen auf, die Unternehmen in Bezug auf Datenschutzverletzungen und gestohlene Zugangsdaten beachten müssen.

Daten sind ein sehr wichtiger Vermögenswert für jede Organisation und jedes Unternehmen. Jeden Tag sammeln Tausende von Unternehmen auf der ganzen Welt viele Daten (einschließlich sensibler Informationen) über ihre Kunden, Transaktionen und den täglichen Betrieb, und viele Unternehmen geben zu, dass Daten eines ihrer wertvollsten Vermögenswerte sind. Allerdings setzen selbst hochkarätige Unternehmen nicht immer Datensicherheit erstens, wodurch das Risiko eines Datenverlusts entsteht.

Bei einem der jüngsten Vorfälle ein anonymer Benutzer zum Verkauf anbieten eine Datenbank, die angeblich personenbezogene Daten (PII) von einer Milliarde chinesischer Bürger in einem Hackerforum zum Preis von 10 Bitcoins enthält, was es zur bisher größten bekannten Datenpanne in China macht.

Die Ermittlungen zur Sache enthüllt dass die Datenbank der Polizei von Shanghai gehörte und auf Alibaba gehostet wurde Cloud Plattform. Darüber hinaus wurden die Daten mit einer veralteten Technologie gespeichert, der grundlegende Sicherheitsfunktionen fehlten (nämlich ein Dashboard hatte keine Option zum Festlegen eines Passworts), wodurch sie für jeden verfügbar waren, der wusste, wo er suchen musste.

Nachdem die Nachricht brach, China Behörden betont die Notwendigkeit, die Informationssicherheit zu stärken, „um die Sicherheitsmanagementbestimmungen zu verbessern, die Schutzfähigkeiten zu erhöhen, persönliche Informationen, Privatsphäre und Geschäftsgeheimnisse in Übereinstimmung mit dem Gesetz zu schützen“.

Buchbesprechung: Giganten fangen.
Trending
Buchbesprechung: Giganten fangen.

Die Datenpanne von T-Mobile im Jahr 2021 ist ein weiteres Beispiel für ein riesiges Durchsickern personenbezogener Daten. Hacker Zugang erlangt in die Systeme des US-Telekommunikationsriesen eindrang und Daten von über 100 Millionen Kunden von den Servern von T-Mobile stahl. Die gestohlene Datenbank, die persönliche Daten wie Sozialversicherungsnummern, Telefonnummern, Namen, physische Adressen, eindeutige IMEI-Nummern und Führerscheininformationen enthielt, wurde dann auf einer dunklen Website zum Verkauf angeboten.

Vor kurzem hat das Unternehmen angekündigt Es wird 350 Millionen US-Dollar an Kunden zahlen, die von der Verletzung betroffen sind, plus 150 Millionen US-Dollar „für Datensicherheit und zugehörige Technologie in den Jahren 2022 und 2023“. Der Vergleich wäre eine der größten Strafen für Datenschutzverletzungen, die in den Vereinigten Staaten verhängt werden, nachdem die US-Kreditauskunftei Equifax (mindestens) 575 Millionen US-Dollar verhängt hat. Siedlung übrig die Datenpanne 2017.

In den letzten Jahren hat die Zahl der Datenschutzverletzungen erheblich zugenommen. Für Unternehmen können die Auswirkungen einer Datenschutzverletzung äußerst schwerwiegend sein, einschließlich finanzieller Verluste im Zusammenhang mit einem Sicherheitsvorfall, Schädigung des Rufs und des Kundenstamms eines Unternehmens sowie der Gefahr von Vorschriften und Strafen für Datenschutzverletzungen, wie z. B. denen in den allgemeinen Daten Datenschutzverordnung (DSGVO).

Einem aktuellen berichtenhaben Datenschutzaufsichtsbehörden in ganz Europa seit Januar 2021 insgesamt fast 1.1 Mrd. Das ist fast eine Versiebenfachung gegenüber 2020 insgesamt.

Die bisher höchste DSGVO-Strafe wurde von der luxemburgischen Nationalen Datenschutzkommission (CNDP) in Höhe von 746 Millionen Euro gegen einen US-Online-Händler verhängt, die bisher größte Geldbuße wegen Nichteinhaltung der DSGVO. Dies ist mehr als 14 Mal höher als die bisher größte DSGVO-Strafe (50 Millionen Euro), die von der französischen CNIL gegen Google verhängt wurde.

Die fortschrittlichsten Angriffe werden selten entdeckt, und viele große Unternehmen sind sich nicht einmal bewusst, dass sie verletzt wurden. Professionelle Black Hats haben absolut kein Interesse daran, dass ihr Opfer von der Verletzung erfährt, und tun ihr Bestes, um unsichtbar zu bleiben, indem sie jede Operation gründlich planen und verschiedene Nebelwände einsetzen, um die Aufmerksamkeit der Sicherheitsteams abzulenken.

Besonders große Unternehmen haben eine große Herausforderung bei der Erkennung von Eindringlingen, da Cyberkriminelle es meist auf ihre Niederlassungen, Partner, Lieferanten oder sogar Anteilseigner abgesehen haben, die nicht über ein so hohes Maß an Abwehr verfügen, aber Zugriff auf dieselben Daten haben.

Es ist kein Geheimnis, dass Datenschutzverletzungen für Unternehmen verheerend sein und sie Millionen von Dollar an Schäden kosten können. Laut dem Schätzungen, belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf 4.24 Millionen US-Dollar und liegen damit nur geringfügig unter den durchschnittlichen Kosten eines Ransomware-Vorfalls (4.62 Millionen US-Dollar).

Was die eigentlichen Ursachen von Datenschutzverletzungen betrifft, so haben Forscher gefunden zur Verbesserung der Gesundheitsgerechtigkeit Web Applikationen sind die Quelle von fast 50 % der Datenschutzverletzungen, entweder durch eine SQL-Injection (SQLi) oder eine andere Schwachstelle wie Remote Code Execution (RCE) oder einfache Offenlegung von Informationen.

Eine andere Studie ergab, dass fast die Hälfte (46 %) aller On-Premises-Datenbanken weltweit dies sind mit Sicherheitslücken, wobei Frankreich (84 %), Australien (65 %) und Singapur (64 %) häufiger unsichere Datenbanken aufweisen. Eine fünfjährige Längsschnittstudie mit fast 27,000 gescannten Datenbanken hat ergeben, dass die durchschnittliche Datenbank 26 vorhandene Schwachstellen enthält, wobei 56 % der Probleme als „Hoch“ und „Kritisch“ eingestuft werden.

Die Quintessenz? Die beste Verteidigung ist die Prävention. Indem sie sich über bewährte Sicherheitspraktiken und Compliance-Vorschriften auf dem Laufenden halten, können Unternehmen das Risiko von Datenschutzverletzungen minimieren.

Es gibt auch eine Reihe von Cybersicherheitsmaßnahmen, die Unternehmen ergreifen sollten, um ihre Daten vor potenziellen Angriffen zu schützen, wie z. B. die Trennung ihrer Datenbankserver von allem anderen, die Verwendung von Firewalls, Antiviren-, Intrusion Prevention- und Anti-Spyware-Software, die Implementierung von Mitarbeiterschulungen zur Cybersicherheit Best Practices sowie ein datenzentrierter Ansatz, der eine strenge Kontrolle darüber beinhaltet, wer bestimmte Dateien und Datensätze lesen kann, sowie Lösungen zur Verhinderung von Datenverlust (DLP).

Wir glauben, dass Ihnen Folgendes gefallen wird:

Ekaterina Chrustaleva

Ekaterina Khrustaleva, Chief Operating Officer, ImmuniWeb

Ekaterina Khrustaleva hat einen Bachelor-Abschluss in Rechnungswesen und Finanzen . Sie absolvierte Executive-Programme in Cybersicherheit an der Harvard University, Blockchain an der Oxford University und Organisationsführung am IMD in Lausanne und begann ihre Karriere im Private Banking, wo sie vom aufstrebenden Markt für Cybersicherheit inspiriert wurde.

Ekaterina begann ihre Karriere im Bereich Cybersicherheit im Jahr 2010 als Vertriebsleiterin. Nach mehreren Beförderungen für Leistung und äußerst kreative Verkaufstaktiken wurde Ekaterina 2013 Chief Operating Officer eines führenden Penetrationstestunternehmens, High-Tech Bridge in Genf.

Heute leitet Ekaterina die weltweiten Vertriebsaktivitäten von ImmuniWeb. Sie spricht fünf Sprachen und ist außerdem für globale Partnerschaften und strategische Allianzen bei ImmuniWeb verantwortlich. Ekaterina ist Mitglied mehrerer privater Clubs, die die erfolgreichsten Wirtschaftsführer, Führungskräfte und Unternehmer zusammenbringen. Sie ist außerdem Mitglied von ISACA und Certified Data Privacy Solutions Engineer (CDPSE).

Überwindung der Hindernisse für die Einführung von KI

Kit Cox • 02. Mai 2024

Die Leistungsfähigkeit der KI in Kombination mit geeigneten Anwendungsfällen und einem robusten Implementierungsplan kann Unternehmen dabei helfen, den Zeitaufwand für manuelle, sich wiederholende Aufgaben drastisch zu reduzieren und es Teams zu ermöglichen, wertschöpfende Arbeiten zu priorisieren. Aber bei all der Aufregung wird deutlich, dass viele Unternehmen durch Trägheit und Unverständnis über ... zurückgehalten werden.

Überwindung der Hindernisse für die Einführung von KI

Kit Cox • 02. Mai 2024

Die Leistungsfähigkeit der KI in Kombination mit geeigneten Anwendungsfällen und einem robusten Implementierungsplan kann Unternehmen dabei helfen, den Zeitaufwand für manuelle, sich wiederholende Aufgaben drastisch zu reduzieren und es Teams zu ermöglichen, wertschöpfende Arbeiten zu priorisieren. Aber bei all der Aufregung wird deutlich, dass viele Unternehmen durch Trägheit und Unverständnis über ... zurückgehalten werden.

Wie prädiktive KI dem Energiesektor hilft

Colin Gault, Produktleiter bei POWWR • 29. April 2024

Im letzten Jahr oder so haben wir das Aufkommen vieler neuer und spannender Anwendungen für prädiktive KI in der Energiebranche erlebt, um Energieanlagen besser zu warten und zu optimieren. Tatsächlich waren die Fortschritte in der Technologie geradezu rasant. Die Herausforderung bestand jedoch darin, die „richtigen“ Daten bereitzustellen …

Wie prädiktive KI dem Energiesektor hilft

Colin Gault, Produktleiter bei POWWR • 29. April 2024

Im letzten Jahr oder so haben wir das Aufkommen vieler neuer und spannender Anwendungen für prädiktive KI in der Energiebranche erlebt, um Energieanlagen besser zu warten und zu optimieren. Tatsächlich waren die Fortschritte in der Technologie geradezu rasant. Die Herausforderung bestand jedoch darin, die „richtigen“ Daten bereitzustellen …

Cheltenham MSP ist erster offizieller lokaler Cyberberater

Neil Smith, Geschäftsführer von ReformIT • 23. April 2024

ReformIT, ein Managed IT Service and Security Provider (MSP) mit Sitz in der britischen Cyber-Hauptstadt Cheltenham, ist der erste MSP in der Region, der sowohl als Cyber ​​Advisor als auch als Cyber ​​Essentials-Zertifizierungsstelle akkreditiert wurde. Das Cyber ​​Advisor-Programm wurde vom offiziellen National Cyber ​​Security Center (NCSC) der Regierung und dem ... ins Leben gerufen.

Wie wir die britischen Portfoliogeschäfte von BT modernisieren

Faisal Mahomed • 23. April 2024

Nirgendwo ist der Übergang zu einer digitalisierten Gesellschaft ausgeprägter als die Entwicklung von der traditionellen Telefonzelle zu unseren innovativen digitalen Straßentelefonen. Die Nutzung von Münztelefonen ist seit Ende der 1990er/2000er Jahre massiv zurückgegangen, wobei Geräte und Smartphones nicht nur den Kommunikationszugang, sondern auch die zentralen Community-Punkte ersetzt haben, für die die Münztelefone einst standen. Unser...

Wie wir die britischen Portfoliogeschäfte von BT modernisieren

Faisal Mahomed • 23. April 2024

Nirgendwo ist der Übergang zu einer digitalisierten Gesellschaft ausgeprägter als die Entwicklung von der traditionellen Telefonzelle zu unseren innovativen digitalen Straßentelefonen. Die Nutzung von Münztelefonen ist seit Ende der 1990er/2000er Jahre massiv zurückgegangen, wobei Geräte und Smartphones nicht nur den Kommunikationszugang, sondern auch die zentralen Community-Punkte ersetzt haben, für die die Münztelefone einst standen. Unser...

Was ist eine User Journey?

Erin Lanahan • 19. April 2024

User Journey Mapping ist der Kompass, der Unternehmen zu kundenorientiertem Erfolg führt. Durch die sorgfältige Verfolgung der Schritte, die Benutzer bei der Interaktion mit Produkten oder Dienstleistungen unternehmen, erhalten Unternehmen tiefgreifende Einblicke in die Bedürfnisse und Verhaltensweisen der Benutzer. Das Verständnis der Emotionen und Vorlieben der Benutzer an jedem Berührungspunkt ermöglicht die Schaffung maßgeschneiderter Erlebnisse, die tiefe Resonanz finden. Durch strategische Segmentierung, personengesteuertes Design,...