سرقة الهوية – لماذا تستهدف الشركات – CloudSavvy IT
تقليديا ، يشعر الأفراد بالقلق ، وسرقة الهوية هي الآن مصدر قلق للشركات. إنه يضعف ولاء الموظفين ويجعل العملاء يعتقدون أنك مخاطرة للغاية للتواصل معهم.
المخالفات والغرامات والتعويضات
قد يؤدي انتهاك معلومات التعريف الشخصية (PII) أو الاستخدام غير الصحيح لمعلومات PII إلى فرض غرامات. في أوروبا ، أدت الموجة الأولى من الغرامات المرتفعة التي فرضها القانون العام لحماية البيانات إلى تدمير الأعمال التعسفية. تم تغريم H&M (متجر Hennes & Mauritz عبر الإنترنت) بما يعادل 41 مليون دولار.
علاوة على ذلك ، لا تنطبق اللائحة العامة لحماية البيانات على الشركات الأوروبية فقط. إذا كنت توظف أوروبيين أو تتاجر أو تعمل في أوروبا ، وكان لديك موقع ويب يمكن الوصول إليه من أوروبا مع عنوان بريد إلكتروني للأشخاص للاتصال بك ، فإن المعاملة تعتبر أيضًا معاملة – الناتج المحلي الإجمالي يعمل من اجلك. تم تغريم جوجل 58.5 مليون دولار أمريكي لهذا الغرض.
بالطبع ، اللائحة العامة لحماية البيانات هي مجرد لائحة. في الولايات المتحدة ، تنتشر تشريعات حماية البيانات في جميع أنحاء الولايات المتحدة ، مثل قانون حماية خصوصية السائق لعام 1994 (DPPA) وقانون حماية خصوصية الأطفال على الإنترنت (COPPA) وقانون حماية المستهلك في كاليفورنيا الجديد (CCPA) .
كما لو أن الغرامات ليست شديدة بما فيه الكفاية ، فإن الإضرار بالسمعة الناجم عن انتهاكات البيانات أو الانتهاكات الأخرى المتعلقة بالبيانات يمكن أن يكون له تأثير كبير على الشركة وعلاقتها مع العملاء. العلاقات التجارية تحتاج إلى الاهتمام. يستغرق الأمر وقتًا وجهدًا لزراعتها وصيانتها. ومع ذلك ، قد يتم تدميرها وفقدانها بين عشية وضحاها بسبب ضعف العلاقات العامة. في بعض الأحيان ، لا يتم الإعلان عن مثل هذه الأشياء بشكل جيد.
جميع الشركات لديها معلومات تحديد الهوية الشخصية للموظفين والموردين والعملاء. يجب أن يدركوا أنهم مسؤولون عن جمع هذه البيانات وحمايتها واستخدامها بشكل قانوني.وفقًا لتقرير تكلفة خرق البيانات لعام 2020 لشركة IBM ، فإن التأثير المالي لكل خسارة لمعلومات PII على الأعمال تسجيل إنها 150 دولارًا.
إذا كانت معلومات تحديد الهوية الشخصية المسروقة تسمح للجهات الفاعلة بالتهديد بانتحال شخصية موظفيك حتى يتمكنوا من التواصل بشكل مقنع مع العملاء أو الموردين أو البنوك أو الأشخاص في قسم حسابك الذين لديهم سلطة تحويل الأموال ، فستكون التكلفة أعلى بكثير.
معلومات تحديد الهوية الشخصية وسرقة الهوية
سرقة الهوية هو مصطلح عام يتضمن العديد من عمليات الاحتيال مثل بطاقات الائتمان ومعاملات شراء التأجير والإيجارات وعمليات الشراء عبر الإنترنت والخدمات المصرفية عبر الإنترنت. عادة ما ترتبط سرقة الهوية بسرقة أو تسرب معلومات تحديد الهوية الشخصية.
منذ اللحظة التي تم فيها استخدام أجهزة الكمبيوتر بشكل شائع في عالم الأعمال السائد ، بدأت الشركات في جمع معلومات تحديد الهوية الشخصية وتخزينها ومعالجتها. أي بيانات عن شخص ما هي معلومات تحديد الهوية الشخصية. لست بحاجة إلى تخزين اللغز الرقمي بالكامل الذي يمكنه تحديد شخص ما بشكل كامل لحساب بياناتك على أنها معلومات تحديد الهوية الشخصية. إذا كان لديك جزء فقط من اللغز ، فسيتم تصنيف قطعة البيانات هذه على أنها معلومات تحديد الهوية الشخصية ويجب حمايتها بنفس طريقة تفريغ البيانات الكامل للشخص.
من وجهة نظر ممثل التهديد ، فإن الحصول على سجل بيانات كامل عن شخص ما يشبه ضرب paydirt. ومع ذلك ، لا تزال كمية صغيرة من المعلومات مفيدة لهم ، تمامًا كما يمكن للعديد من الكتل النووية الصغيرة (إذا وجدت ما يكفي) أن تعوض عن ذلك. كلما زاد عدد معلومات تحديد الهوية الشخصية التي تمتلكها وكلما زاد عدد الأشخاص الذين يمتلكون البيانات ، زادت جاذبية أهدافك.
لكن هذا لا يعني أن المجرمين سيتجاهلون الشركات الصغيرة. في الواقع ، قد تكون الأهداف المفضلة ، لأنه من غير المحتمل أن يكون لديها مجموعة من تدابير حماية ومراقبة أمان الشبكة الصارمة مثل منظمة على مستوى المؤسسة ، ولا يوجد موظفون مخصصون لتنفيذها والإشراف عليها.
لقد ولت أيام البحث في علب قمامة الأشخاص أو علب مهملات الشركة ، وهم يبحثون عن معلومات ورقية لإنشاء أدوار قابلة للتطبيق لسرقة الهوية. أصبح هذا النوع من الاحتيال شيئًا عالي التقنية وذو قيمة عالية. وجذب انتباه الجريمة المنظمة حتما. يعمل إما سارقو البيانات لصالح الجماعات الإجرامية المنظمة ، وسيستخدمون معلومات تحديد الهوية الشخصية المسروقة لارتكاب الاحتيال ، أو ستبيع الجماعات الإجرامية الإلكترونية الصغيرة البيانات على شبكة الويب المظلمة.
توفر بعض معلومات تحديد الهوية الشخصية المسروقة فرصة قصيرة لممثلي التهديد. بعد وقت قصير من استخدام المشارك في التهديد للمعلومات ، ستلاحظ الضحية المعلومات. سترسل الضحية تنبيهًا إلى مزود الخدمة ، مثل البنك أو شركة بطاقات الائتمان أو التسوق عبر الإنترنت أو التأمين الاجتماعي ، وسيتم تجميد الحساب أو اتخاذ أي إجراءات أخرى. لكن في بعض الأحيان لا يتم اكتشاف عمليات الاحتيال لفترة طويلة.
لماذا يحدث الانتهاك
خطأ من الداخل
في حالة وقوع حادث ، مثل ترك جهاز كمبيوتر محمول في القطار أو إرسال جدول بيانات بالبريد الإلكتروني إلى الشخص الخطأ. تحدث بعض الحوادث بسبب عدم اتباع السياسات والإجراءات (عادةً عند الضغط أو الضغط) ، ويتم تجاهل الممارسات الإلزامية أو قطع الزوايا.
يستخدم ممثلو التهديدات التصيد الاحتيالي وهجمات التصيد بالرمح لإجبار العاملين على تثبيت برامج ضارة عن غير قصد ، مثل أدوات rootkits والوصول عن بعد إلى أحصنة طروادة (RATs) يلعب ضغط العمل أيضًا دورًا هنا. من غير المرجح أن يتوقف الموظفون الذين يتعرضون للمضايقات أو الذين يواجهون صعوبات ويستخدمون قائمة مراجعة نفسية لتحديد ما إذا كان البريد الإلكتروني أو مرفقاته حقيقية أو ضارة.
المطلع الضار
يمكن للموظفين الساخطين التعامل مع خروقات بيانات PII لفرض ما يعتقدون أنه عدالة انتقامية ضد الشركة. قد يسرق الآخرون معلومات التعريف الشخصية في محاولة للاستفادة من الاقتصاد. قد يكونون المصنع الذي تمكن من العثور على وظيفة في شركتك ، لكنهم في الواقع يعملون لصالح منافس ويشاركون في التجسس الصناعي.
ذات صلة: الموظفون الساخطون والأضرار التي يمكن أن يتسببوا فيها
هجوم خارجي
تحدث معظم خروقات بيانات PII بسبب التهديدات الخارجية. نظرًا لأن سرقة الهوية أصبحت تجارة مربحة (إجرامية) ، وجذبت الجريمة المنظمة الانتباه ، فإن هذه الهجمات منسقة ومعقدة. قد يشنون هجمات التصيد الاحتيالي أو يستغلون نقاط الضعف أو يستخدمون هجمات القاموس لتحديد كلمة المرور المستخدمة.
ذات صلة: كيفية حماية مؤسستك من هجمات قاموس كلمات المرور
التشفير هو صديقك
التشفير هو صديقك ، لكنه ليس حلاً شاملاً لأمن الشبكات. لا تزال بحاجة إلى استخدام الحماية التقنية المناسبة ، والحوكمة القوية لتكنولوجيا المعلومات مع السياسات والإجراءات ، وتدريب الموظفين حول الوعي بالأمن السيبراني لمحاولة حماية نظامك.
يجب تشفير البيانات على أجهزة التخزين (مثل محركات الأقراص الثابتة ومحركات الأقراص الخارجية وأنظمة النسخ الاحتياطي). يجب تشفير النسخ الاحتياطية خارج الموقع والمحلية. يجب تشفير جميع الأجهزة المحمولة (بما في ذلك أجهزة الكمبيوتر المحمولة والهواتف الذكية والأجهزة اللوحية وشرائح الذاكرة والأقراص المضغوطة).
لن يمنع التشفير البيانات من السرقة. آمل أن تتخذ تدابير دفاعية أخرى. لكن تشفير البيانات يجب أن يمنع مجرمي الإنترنت من الاستفادة. إنه مثل استخدام عبوة صبغ مطبوعة عليها نقود. إذا سُرقت الخزنة ، سينفجر صندوق الصبغة ، ويلطخ النقود بلون لا يمحى ، مما يجعلها عديمة الفائدة. لن تمنع عبوة الصبغة الخزنة من السرقة والانفجار ، لكن المجرم ليس لديه شيء في المقابل.
علاوة على ذلك ، من وجهة نظر لوائح حماية البيانات ، فإن الضرر الذي يلحق بالبيانات المشفرة أقل ضررًا بكثير من فقدان معلومات PII للنص العادي.
في الوقت الحاضر ، يمكن للمؤسسات استخدام تقنية التشفير في العديد من المنتجات. عادةً ما يكون جزءًا لا يتجزأ من منتج منتج (مثل بريد Microsoft 365 الإلكتروني).
يمكن أيضًا استخدام المنتج للسماح لك بتشفير النظام المحلي. يرجى ملاحظة أنه بعد تحديد منتجات التشفير ونشرها ، لا يزال يتعين عليك التحقق من منتجات التشفير المختلفة بانتظام. حتى برامج التشفير الأفضل في فئتها قد تظهر عيوبًا خوارزمية ، مما يجعل تشفيرها عرضة للهجمات. لذلك لا تختار منتجك وتنساه. تأكد من أن قرار المنتج الخاص بك لا يزال ساريًا اليوم.
يجلب التشفير مصاريف الحوكمة والصيانة الخاصة به. يستخدم روتين التشفير مفتاح التشفير. هذه على ما يبدو سلاسل ورموز عشوائية تُستخدم مع الخوارزميات لتشفير البيانات وفك تشفيرها. مثل جميع المفاتيح المهمة ، يجب حمايتها والتحكم فيها والتحكم فيها. تحتاج إلى معالجة هذه الموضوعات عند التخطيط لنشر التشفير على نطاق واسع في شركتك.
نشر التشفير
إذا لم يكن لديك سجل أصول البيانات ، فقم بإجراء تدقيق للبيانات وإنشاء واحد. على الأقل ، تحتاج إلى معرفة البيانات المخزنة ، وأين يتم تخزينها ، ومن يحتاج إلى الوصول إليه ، ومدى حساسية البيانات أو أهميتها. قد تتطلب اللوائح المحلية (مثل القانون العام لحماية البيانات) أن تكون أكثر تفصيلاً من ذلك.
بيانات التصنيف
صنف البيانات إلى نطاقات ، على سبيل المثال:
- البيانات المقيدة: سيؤدي انتهاك هذه البيانات إلى إلحاق ضرر كبير بالشركة بطريقة ما. يجب التحكم في البيانات وحمايتها على أعلى مستوى.
- بيانات خاصة: تعتبر جميع بيانات الشركة غير المقيدة وغير المفصح عنها بيانات خاصة. يشكل الوصول غير المصرح به إلى البيانات الخاصة خطرًا متوسطًا على الشركة. يجب تطبيق مستوى معقول من التحكم والحماية على هذه البيانات.
- البيانات العامة: هناك حاجة قليلة أو معدومة للسيطرة والحماية.
تحديد فترة صلاحية البيانات
إذا كان من غير المحتمل أن يكون تاريخ البيانات مفيدًا ، وكنت تعلم أن التشفير لا يمكن أن تنتهي صلاحيته خلال تلك الفترة الزمنية ، فيمكنك اعتبار بياناتك آمنة.
بيانات معينة (مثل بطاقات الائتمان) لها تاريخ انتهاء صلاحية واضح. إذا حصل شخص ما على رقم بطاقة الائتمان ورمز التحقق من البطاقة (CVV) ، فيمكنه استخدامهما فقط قبل تاريخ انتهاء صلاحية البطاقة.
ستتمتع البيانات الأخرى (مثل عناصر معلومات تحديد الهوية الشخصية) بفترة زمنية معقولة ، ويمكن توقع أن يلاحظ ضحايا الاحتيال المتعلق بالهوية شيئًا خاطئًا ، مثل الإدخالات الغريبة في كشوف الحسابات المصرفية.
إجراء العناية الواجبة وأبحاث السوق
بتوجيه من الخطوات المذكورة أعلاه وتسجيل أصول البيانات (وبالطبع الميزانية) ، يرجى مراجعة أدوات التشفير المتاحة واختيار أداة التشفير الأنسب وفقًا لاحتياجاتك.
تطوير السياسات والإجراءات
قم بإنشاء أو تحديث السياسات والإجراءات الحالية لتوفير التحكم والإرشاد بشأن استخدام أدوات التشفير والتحكم في مفاتيح التشفير وحمايتها.
قم بتدريب الموظفين
قدم دورات تدريبية لموظفيك حتى يفهموا الأسباب الكامنة وراء التغييرات ، وما هي أساليب العمل الجديدة وما هو متوقع منها. وضح أن هذه الإجراءات مصممة لحمايتهم وحماية بياناتهم.
استخدم هذا النوع من الملفات الشخصية كجزء من عملية الإعداد للموظفين الجدد.
ذات صلة: ما هي الركائز الثلاث للأمن السيبراني؟
لا تنس الأساسيات
يجب استخدام بروتوكول آمن ومشفر للاتصال عن بعد بالمؤسسات أو الموارد المستندة إلى السحابة ، ويجب تصحيح جميع التطبيقات وأنظمة التشغيل بأحدث الترقيات وتصحيحات الأمان.
تذكر أن التشفير يمكن أن يحمي البيانات المسروقة ، ولن يمنع البيانات من السرقة.