Este año, hemos visto una larga lista de organizaciones que han sufrido violaciones de datos. Siempre hay lecciones importantes que aprender de tales eventos, y en este artículo, analizaremos más de cerca dos brechas que ocurrieron en el espacio de una quincena en agosto. A saber, la violación del sitio de venta de entradas de eBay StubHub y de las casas de apuestas en línea Paddy Power.

En primer lugar, y típico de casi todas las violaciones, lo que une a ambos es que se robó información de identificación personal, incluidos nombres de clientes individuales, nombres de usuarios, direcciones, direcciones de correo electrónico, números de contacto de teléfonos y fechas de nacimiento..

Una brecha conduce a otra

Pero lo que distingue a la violación de StubHub es que este compromiso no se debió a que los servidores de la compañía fueron atacados, sino que los piratas informáticos habían utilizado los datos de inicio de sesión y las contraseñas obtenidas de ataques anteriores para obtener acceso a la red. Ha habido numerosas advertencias de que los datos personales capturados en un atraco pueden usarse para diseñar otros ciberataques, más insidiosos, diseñados socialmente, y esta violación fue la confirmación de tal eventualidad..

Esta es también una de las razones por las cuales la reciente revelación de que un grupo de hacking ruso supuestamente ha acumulado 1.200 millones de usuarios y contraseñas es tan importante. El mercado negro prospera con este tipo de datos..

En el caso de Paddy Power, la casa de apuestas irlandesa reveló que unos 649,000 clientes se vieron afectados por una violación que tuvo lugar en 2010. Dado que el evento tardó casi cuatro años en salir a la luz, existe la posibilidad de que otros ciberdelincuentes Mientras tanto, se han lanzado ataques con datos de clientes de Paddy Power. Sin embargo, la cantidad de tiempo que demoró la publicación de los detalles del incidente no es tan rara como podría pensar: el sitio australiano de ofertas diarias Catch of the Day notificó recientemente a sus clientes una infracción que experimentó tres años antes.

Consideraciones de cumplimiento

Desde el punto de vista del cumplimiento, ambos casos agregan una mayor urgencia a la necesidad de reclasificar todos los datos como "sensibles" y agregan más peso al mandato de las leyes de notificación de incumplimiento más estricto. Ha habido una tendencia creciente hacia la notificación de violación de datos personales en Europa; por ejemplo, Alemania e Irlanda han introducido requisitos de notificación de violación de datos nacionales más estrictos que los establecidos en la actual Directiva de privacidad electrónica..

Dado que el borrador más reciente del Reglamento de protección de datos de la UE propuesto estipula que los controladores de datos están obligados a notificar al regulador de privacidad relevante de una infracción dentro de un período de 72 horas, las empresas en general deben estar preparadas para responder ante incidentes de infracción mucho más rápido. o enfrentar las consecuencias adversas.

En la lucha contra el delito cibernético, la necesidad de leyes obligatorias de notificación de violación de datos no solo enfatiza los peligros para la seguridad de la comunidad internacional, sino que también sirve como un recordatorio crucial para las empresas de que la responsabilidad de una protección de datos efectiva recae en ellos..

Grandes penalizaciones

Otro punto a tener en cuenta es que otros cambios propuestos a la ley amenazan con aumentar las multas máximas para negocios incumplidos del 2% al 5% de la facturación anual global de la empresa, lo que significa que, al no contar con datos de manera adecuada, representa un riesgo operacional muy grave para organizaciones que tienen datos personales a su cargo y a los que se aplican las normas. La ciberdelincuencia es una industria altamente sofisticada y destructiva dirigida a organizaciones de todas las formas y tamaños, capaz de dañar marcas y resultar en penas de cumplimiento dolorosas.

El hecho de que los incidentes de violación de datos continúen apareciendo en los titulares confirma que las empresas siguen siendo objeto de muchos datos de clientes. Como tal, las organizaciones deben comenzar a apreciar el valor de la sensibilidad de la información que recopilan. Para las empresas que desean mantenerse al margen de los titulares con la línea de fondo y la confianza del consumidor intacta, es esencial garantizar que cuentan con las soluciones de seguridad de datos adecuadas, como el cifrado y los controles de acceso, junto con la inteligencia de seguridad..

Solo así se alertará a una empresa sobre el comportamiento inusual o anómalo de los usuarios y el acceso a la red cuando esto suceda, lo que puede indicar un ataque externo o una información confidencial maliciosa. Es importante recordar que, aparte de la gran cantidad de estafadores, oportunistas, hacktivistas y sindicatos del crimen organizado que hay por ahí, los "insiders" de confianza pueden presentar tanto riesgo para los datos como cualquier otra persona..

  • Paul Ayers es VP EMEA en Vormetric.