I takt med at databrud bliver mere og mere almindelige, er det ikke længere et spørgsmål om "om" en organisation vil blive angrebet, men "hvornår". Cyberkriminelle har udnyttet den nuværende situation til at iværksætte en række sofistikerede cyberangreb rettet mod en lang række forskellige brancher.
Der ser ikke ud til at være nogen stilstand i den fortsatte strøm af brud på datasikkerheden, og hvis der er noget, bliver de stadig hyppigere og mere alvorlige. Ifølge en nylig risikobaseret sikkerhedsrapport er der i de første seks måneder af 2020 allerede blevet afsløret hele 8,4 milliarder oplysninger.
De langsigtede konsekvenser af et databrud er blevet alt for reelle, og mange organisationer er nu meget opmærksomme på de skader, der kan opstå som følge af et kostbart brud. De bøder, der er pålagt British Airways og Marriot, viser, hvor alvorligt ICO har til hensigt at tage GDPR-overtrædelser alvorligt fremover.
Hvordan påvirkes organisationer, der er blevet krænket?
Et brud på datasikkerheden kan forårsage uoprettelig skade, og de langsigtede virkninger kan være ødelæggende. Ud over de store bøder, der kan blive pålagt som følge af manglende overholdelse, kan organisationer få yderligere omkostninger i forbindelse med driftsstop, tab af kundedata, gennemførelse af nye sikkerhedsforanstaltninger og kompensation til berørte kunder.
Et brud kan også have en betydelig indvirkning på forbrugernes tillid, aktiernes værdi og skade brandets omdømme. Den uheldige realitet er, at mange forbrugere simpelthen mister tilliden til en virksomhed, hvis de mener, at deres personlige oplysninger ikke er ordentligt beskyttet.
Databrud kan have en betydelig indvirkning på virksomhedens værdiansættelse og aktiekurs. Et godt eksempel på dette var databruddet på Yahoo i 2013. Over 3 milliarder brugerkonti blev kompromitteret og afslørede følsomme kundeoplysninger, herunder e-mailadresser, adgangskoder, telefonnumre og fødselsdatoer.
Bruddet kom frem i lyset i 2016, da virksomheden var ved at blive opkøbt af det amerikanske teleselskab Verizon. Opkøbet blev gennemført, og investorerne købte Yahoo til en nedsat pris på 4,48 milliarder dollars, hvilket er ca. 350 millioner dollars mindre end den oprindelige aktiekurs.
En rapport fra den professionelle organisation (ISC)2 fremhævede også den indvirkning, som et brud på datasikkerheden kan have på en virksomheds værdiansættelse. Undersøgelsen viste, at hvis en virksomhed bliver udsat for et databrud, kan det medføre et betydeligt fald i aktiekursen på aktiemarkedet.
250 USA-baserede eksperter i fusioner og virksomhedsovertagelser blev spurgt i rapporten, og 49 % af disse eksperter har været vidne til, at en fusions- eller overtagelsesaftale er faldet til jorden som følge af et databrud. Desuden sagde 86 % af de adspurgte, at hvis en virksomhed offentliggør et brud i sin fortid, vil det trække ned på den tildelte overtagelsespris.
77 % sagde dog, at de tidligere havde anbefalet en virksomhed at blive opkøbt frem for en anden på grund af styrken af dens cybersikkerhedsprogram. 96 % havde også bemærket, at cybersikkerhedsberedskabet indgår i beregningen, når de vurderer den samlede monetære værdi af et potentielt opkøbsmål.
Undersøgelsen viser, at selv om de fleste virksomheder helst ikke vil opleve et databrud, vil de blive set mere positivt på dem af finansfolk og virksomhedsledere, hvis de har taget skridt til at håndtere det godt, justeret politikker og processer og forbedret deres generelle sikkerhedssituation.
Et solidt program til bevidstgørelse om cybersikkerhed er nøglen til at mindske risikoen og forberede sig på det uundgåelige. Hvis organisationer investerer i cybersikkerhed og kan påvise, at de har taget alle de nødvendige skridt til at beskytte deres informationssikkerhed, vil de sandsynligvis ikke blive udsat for myndighedernes fulde vrede, og deres aktieværdi vil måske ikke blive påvirket så negativt som de virksomheder, der har valgt ikke at gøre noget.
Klik her for at få mere at vide om de 5 skadelige konsekvenser af et brud på datasikkerheden
Bedste fremgangsmåder for at undgå databrud
- Uddannelse af medarbejdere - At indgyde gode cybersikkerhedsvaner til dine medarbejdere er den bedste måde at beskytte din organisation mod angreb på. 60 % af de 4856 brud på persondatasikkerheden, der blev rapporteret til ICO i første halvår af 2019, var som følge af menneskelige fejl. Organisationer kan have en tendens til at fokusere på eksterne trusler, men det er ofte deres egne medarbejdere, der udgør den største sikkerhedsrisiko. En omfattende sikkerhedsbevidsthedskampagne, der anvender en række værktøjer og teknikker, er den bedste måde at engagere medarbejderne på og uddanne dem om det skiftende trusselslandskab.
- Opdater sikkerhedssoftware - Sikkerhedssoftware bør opdateres regelmæssigt for at forhindre hackere i at få adgang til netværk via sårbarheder i ældre og forældede systemer. Det er præcis sådan, at hackere fik adgang til personlige oplysninger om over 143 millioner amerikanere i forbindelse med det berygtede Equifax-databrud i 2017. Et fix til denne sårbarhed blev gjort tilgængeligt to måneder før bruddet, men virksomheden undlod at opdatere sin software.
- Regelmæssige revisioner og risikovurderinger - GDPR specificerer, at organisationer skal foretage regelmæssige revisioner af databehandlingsaktiviteter og overholde et sæt databeskyttelsesprincipper, som vil hjælpe med at beskytte data. Dette vil sikre, at der er en passende ramme på plads, som sikrer, at kundernes personligt identificerbare oplysninger er sikre, og at eventuelle risici mindskes. Gennemførelsen af et effektivt system til forvaltning af politikker vil sætte organisationer i stand til at påvise overholdelse af lovkravene og effektivt målrette sig mod de områder, der udgør den største risiko for datasikkerheden.
- Kodeordssikkerhed - En af de nemmeste måder for hackere at få adgang til følsomme virksomhedssystemer på er at gætte kodeord. For at opnå ekstra sikkerhed bør brugerne oprette en passphrase, som er en adgangskode, der består af en sætning eller en kombination af ord. Det første bogstav i hvert ord danner grundlaget for adgangskoden, og bogstaverne kan erstattes af tal og symboler for at tilføje en yderligere forsvarslinje. To-faktor-autentificering (2FA ) giver også et ekstra sikkerhedslag til konti. Ud over en adgangskode kræver 2FA en anden oplysning for at bekræfte brugerens identitet. Dette kan være et sikkerhedsspørgsmål, et fingeraftryk eller en engangskode.
For at hjælpe med at forbedre bevidstheden om cybersikkerhed i din organisation og reducere risikoen for et kostbart databrud har vi lavet en gratis vejledning med 10 praktiske tips til, hvordan du kan forbedre medarbejdernes bevidsthed om cybersikkerhed.
I denne guide lærer du:
- Hvordan man udvikler en solid plan for bevidsthed om cybersikkerhed, der mindsker risikoen for databrud.
- Hvad der kræves, for at et program for bevidsthed om cybersikkerhed kan være effektivt.
- Praktiske tips til at forbedre medarbejdernes bevidsthed om cybersikkerhed.
Klik her for at få adgang til din vejledning om 10 måder at forbedre medarbejdernes bevidsthed om cybersikkerhed på.
