Statistiken över dataintrång är en nykter läsning: om du läser den här bloggen regelbundet har du noterat att dataintrång är vanliga och ofta börjar med en social ingenjörsattack som kompletteras av nätfiske.
År 2021 konstaterade Cisco att 90 % av dataintrång börjar med nätfiske, och att de flesta av dessa intrång bygger på målinriktad spear-phishing. En cyberattack eller till och med en olycka som leder till dataförlust har många konsekvenser. Men vad händer efter att ett dataintrång inträffat? Någon måste vanligtvis ta ansvar för att lämna dörren öppen för cyberbrottslingar, så vem bär burken när uppgifter har blivit kränkta?
De personer som är inblandade i ett dataintrång
Ett dataintrång har en långtgående inverkan på människorna i en organisation. En cyberattack berör själva hjärtat av ett företag, från toppcheferna till de anställda på verkstadsgolvet:
VD:n
VD:n spelar en viktig roll för hur cybersäkerheten betraktas i organisationen. En säkerhetskultur kommer uppifrån och ner, och ett dataintrång speglar en spricka i denna kultur. VD:ar är också i cyberkriminellas sikte, med bedrägerier som CEO-bedrägeri och Business Email Compromise (CEO) som använder VD:s auktoritet för att begå bedrägerier.
Analytikern Gartner sammanfattar situationen genom att förutspå att 75 procent av vd:arna år 2024 kan bli personligt ansvariga för brott mot cyberfysiska data om deras företag inte fokuserar på eller investerar tillräckligt i cybersäkerhet. När ett dataintrång inträffar måste en vd vara redo att hantera situationen och mildra dess inverkan på företaget.
Säkerhetschefen eller CISO (Chief Information Security Officer).
Säkerhetschefen är den självklara första kontaktpersonen när något säkerhetsrelaterat går fel. I en Tripwire-undersökning skulle 21 % av IT-beslutsfattarna lägga skulden för en säkerhetsöverträdelse på CISO. Detta är knappast förvånande eftersom CISO:s arbete innebär att fatta beslut om bästa säkerhetsrutiner och övervaka att de tillämpas.
Så när ett dataintrång inträffar är det CISO eller säkerhetschefen som är på plats för att plocka upp bitarna tillsammans med sitt team.
Säkerhets- eller IT-teamet
Medlemmar i IT- eller säkerhetsteam står i förgrunden när det gäller dataintrång tillsammans med sina chefer. Det är deras uppgift att identifiera och reagera på ett dataintrång. Detta görs antingen internt eller av en tredjepartsleverantör av hanterade säkerhetstjänster. Det kan dock ta lång tid att identifiera ett intrång.
En undersökning från IBM visade till exempel att det i genomsnitt tar 212 dagar att upptäcka ett intrång och 75 dagar att begränsa det. Detta innebär mycket arbete för IT- och säkerhetspersonal och tar dem från arbetet med kärnprojekt.
Ansvarig för efterlevnaden av lagstiftningen
Efter en dataintrång är den ansvarige för efterlevnad under enorm press. Det är deras uppgift att se till att bestämmelserna följs efter dataintrånget. Detta innebär att de måste ta kontakt med tillsynsmyndigheten för att informera dem om dataintrångets omfattning. Beroende på överträdelsens inverkan och lagen kan detta ske inom 24 timmar efter upptäckten av en överträdelse.
Övervakningsansvariga måste också hantera de långtgående konsekvenserna av en överträdelse, inklusive hantering av kund- och pressmeddelanden. Slutligen är det compliance officerens uppgift att samarbeta med CISO och andra för att rätta till den situation som orsakade dataintrånget och förhindra att det upprepas.
Marknadsföring och PR
Marknadsföring kan tyckas ligga helt utanför reaktionen på dataintrång, men marknadsföring och PR måste spela en allt större roll. Skam och skadlig exponering av varumärket är ofta en följd av en dataintrång.
I en rapport om de ekonomiska kostnaderna för en cyberattack konstaterades att 71 % av CMO:erna var övertygade om att den högsta kostnaden för en säkerhetsincident var förlusten av varumärkesvärde. Vidare visade en undersökning av Okta och YouGov att 39 % av de brittiska arbetstagarna har förlorat förtroendet för ett företag som missbrukat deras uppgifter.
Förtroendet bryts när ett dataintrång inträffar. Detta påverkar företagets marknadsföring och PR avsevärt. Marknadsförarna i en organisation måste arbeta för att lösa konsekvenserna av ett dataintrång för organisationens varumärke.
Anställda
Det direkta ansvaret för att förebygga och hantera följderna av ett dataintrång kan ligga hos den högsta ledningen. De anställda påverkas dock också: från sjunkande moral till ökade stressnivåer och disciplinära åtgärder för oavsiktlig dataexponering - de anställda är en del av det bredare ansvarsspektrumet vid ett dataintrång. Därför måste de anställda vara en del av en allmän säkerhetskultur som ger dem inflytande.
Verkliga konsekvenser av dataintrång
Konsekvenserna av ett dataintrång omfattar inte bara ekonomiska konsekvenser, utan även de anställda påverkas i väsentlig grad och förlorar ofta sitt arbete, och vissa kan till och med hamna i fängelse. En rapport från Shred-IT från 2018 visade till exempel att 30 % av de brittiska företag som drabbats av en dataintrång avslutade en anställds kontrakt på grund av vårdslöshet.
Några exempel på nyligen inträffade dataintrång som visar på de långtgående konsekvenserna för en organisation och vem som får bära skulden är bland annat:
Uber: Biluthyrningsföretaget drabbades av ett dataintrång 2016 som påverkade 57 miljoner kunder. Ubers säkerhetschef (Joe Sullivan) underlät dock att avslöja intrånget. I stället ska säkerhetschefen ha sagt till sin personal att hålla kunskapen om intrånget "strikt kontrollerad" och att presentera händelsen som en del av ett bug bounty-program. Sullivan gick till och med så långt att han betalade hackarna 100 000 dollar som en del av "bug bounty"-programmet, och hackarna gick med på att skriva under sekretessavtal som en del av avtalet.
Resultatet av alla dessa knep har förödande konsekvenser för både Uber och säkerhetschefen. Sullivan befanns nyligen skyldig till att ha underlåtit att avslöja överträdelsen och riskerar högst fem års fängelse för obstruktion och tre år för misspionage. När det gäller Uber fick företaget böter på 148 miljoner dollar (130 miljoner pund) 2018.
DWP (Department for Work and Pensions): 2010 fick 26 anställda sparken för att de "snokade i personuppgifter". Uppgifterna var lagrade i DWP:s kundinformationssystem (CIS). Problemen skylldes på ett "slappt säkerhetssystem" med dåliga rutiner för att följa upp anmälningar och varningar.
Singhealth: Ett dataintrång hos Singhealth 2018 påverkade 1,5 miljoner patienter. Till följd av detta befanns två anställda, Citrix-teamledaren och chefen för säkerhetsincidentrespons, ha varit försumliga och fick därför sparken. Dessutom utfärdades personliga böter till fem ledande befattningshavare, inklusive vd:n.
Hur du undviker de personliga konsekvenserna av ett dataintrång
Data är allas angelägenhet, och datasäkerheten bör vara en integrerad del av din säkerhetsstrategi. Detta är möjligt om företaget arbetar för att utveckla en säkerhetskultur som genomsyrar hela organisationen. Som framgår här delar vi alla konsekvenserna av ett dataintrång.
Dessa konsekvenser kan dock kontrolleras genom att skapa en säkerhetskultur där alla i organisationen får utbildning om hur cyberbrottslingar arbetar, hur de kan bidra till att hålla data säkra och hur man upptäcker nätfiskeförsök.