Det går knappt en vecka utan att ett dataintrång hamnar på rubrikerna. Cyberkriminella har normaliserat nätfiske och resultatet är stora mängder stulna uppgifter.
En färsk rapport från säkerhetsorganisationen ISACA visar att mindre än en fjärdedel av de brittiska konsumenterna anser att företagen skyddar deras personuppgifter. Rapporten pekar också på de verkliga konsekvenserna av dataförluster, där nästan hälften av konsumenterna säger att de inte längre skulle göra affärer med ett företag som har drabbats av ett dataintrång.
Förlorade uppgifter innebär förlorade kunder, stora böter och ryktesspridning. Det är viktigt att veta hur man hanterar ett dataintrång när det inträffar.
Här är våra bästa tips för att hantera ett dataintrång.
Personuppgifter och dataskydd
Personuppgifter är allt som kan användas för att identifiera en person. Till exempel namn, adress, ålder, e-postadress, telefonnummer och så vidare. Dessa uppgifter är som guldstoft för cyberkriminella och riskerar att exponeras av enkla olyckor.
Personuppgifter måste skyddas i enlighet med olika bestämmelser om dataskydd och personlig integritet. I den brittiska dataskyddslagen DPA2018 ( Data Protection Act 2018 ) beskrivs till exempel dataskyddsreglerna för att se till att personuppgifter är säkra. De grundläggande principerna i DPA2018 är att uppgifter måste vara:
- användas på ett rättvist, lagligt och öppet sätt
- används för särskilda, uttryckliga syften
- används på ett sätt som är adekvat, relevant och begränsat till det som är nödvändigt.
- vara korrekta och vid behov hållas uppdaterade
- inte sparas längre än vad som är nödvändigt
- hanteras på ett sätt som garanterar lämplig säkerhet, inklusive skydd mot olaglig eller obehörig behandling, åtkomst, förlust, förstörelse eller skada.
DPA 2018 jämförs ibland med EU:s GDPR. Därför kallas DPA2018 också för UK GDPR. Det finns vissa skillnader mellan DPA 2018/UK GDPR och EU:s GDPR, t.ex. är behandlingen av uppgifter om brottslingar mindre sträng i Storbritannien. Dessutom är legitima skäl för profilering mindre stränga i Storbritannien än i EU.
Båda kräver dock att personuppgifter ska skyddas och att vissa villkor måste uppfyllas efter en överträdelse om en överträdelse inträffar. Detta inkluderar regler för anmälan av överträdelser och potentiella böter för bristande efterlevnad.
Hur sker ett dataintrång?
Varhelst uppgifter skapas, lagras, delas eller används riskerar de att bli stulna eller oavsiktligt avslöjade. En mängd olika cyberhot orsakar dataintrång, bland annat:
- Phishing - bedragare stjäl uppgifter direkt via skadliga webbplatser. Alternativt använder cyberbrottslingar spear phishing för att stjäla inloggningsuppgifter. Dessa inloggningsuppgifter används sedan för att få tillgång till företagsnätverk och appar. Även personalens inloggningsuppgifter utan privilegier kan leda till databashaverier och omfattande dataintrång.
- Social ingenjörskonst - cyberbrottslingar lurar anställda att lämna ut personuppgifter som de sedan använder för att begå ytterligare brott. Bedragarna använder många olika sätt att utföra social ingenjörskonst, bland annat telefonsamtal och sociala medier. Dessa attacker kan i slutändan leda till mer omfattande dataintrång.
- Felkonfigurerade webbkomponenter - enkla konfigurationsfel kan göra att webbservrar och databaser är öppna för hackare.
- Sårbarheter i programvara - brister i programkod kan göra databaser, webbservrar och annan programvara sårbara för en attack. Ofta används mjukvarusårbarheter tillsammans med andra angreppsvektorer, t.ex. nätfiske, för att installera skadlig kod, t.ex. utpressningstrojaner. Detta leder sedan till mer betydande dataintrång.
- Infektion av skadlig programvara - alla ovanstående tekniker och taktiker kan leda till infektion av skadlig programvara. Malware kan till exempel leda till att data exfiltreras tillbaka till en cyberkriminell som väntar på att lägga ut dem till försäljning på en marknadsplats på den mörka webben. Eller så kan det leda till en infektion med utpressningstrojaner. Ofta stjäl utpressningstrojaner data innan de krypteras och försöker utpressa dem.
- Oavsiktliga dataintrång - personuppgifter är inte bara i riskzonen för cyberkriminella. Oavsiktlig dataexponering är en form av dataintrång som kan uppstå genom enkla misstag och slarviga handlingar.
I rapporten The Cost of a Data Breach 2022 från IBM konstateras att:
- De främsta attackvektorerna som orsakar dataintrång är stulna eller komprometterade autentiseringsuppgifter (19 % av intrång), nätfiske (16 % av intrång) och felkonfigurering av molnet (15 % av intrång). Alla dessa vektorer kan orsakas av mänskliga misstag, t.ex. om en anställd inte inser att han eller hon blir phishing-använder och klickar på en skadlig länk som leder till stulna autentiseringsuppgifter.
Liknande siffror kom från Verizons rapport om utredningar av dataintrång för 2022:
- I 82 % av alla intrång är en människa inblandad, till exempel genom att klicka på en phishing-länk vid något tillfälle under angreppet.
- 62 % av dataintrången sker via leverantörer i leveranskedjan. Även här använde angriparna social ingenjörskonst för att rikta in sig på tredjepartsleverantörer och angripa företag längre upp i kedjan.
Den skada som hackare kan åstadkomma
Bedragare använder personlig information för att begå olika typer av cyberbrott. Till exempel identitetsstöld: Storbritanniens CIFAS National Fraud Database registrerade en 11-procentig ökning av identitetsstölder under första halvåret 2021. CIFAS har dessutom sett en ännu större ökning under 2022, med en ökning av identitetsstölder med en tredjedel jämfört med siffrorna för 2021.
Identitetsstöld leder till ekonomiska förluster för de personer och företag som har att göra med bedragaren bakom den stulna identiteten. Företag och privatpersoner i Storbritannien förlorar årligen cirka 4 miljarder pund på grund av identitetsrelaterade bedrägerier.
I rapporten Cost of Data Breaches (Kostnader för dataintrång) presenteras bevis för konsekvenserna av ett dataintrång:
- Den genomsnittliga kostnaden för ett dataintrång 2022 var 4,2 miljoner dollar (3,8 miljoner pund).
Kostnaden för ett dataintrång omfattar:
- Kostnader för att åtgärda direkta skador på IT-system.
- Skador på anseendet
- Böter för bristande efterlevnad av lagstiftningen
- Skadestånd till kunder; ofta kan dataintrång leda till grupptalan.
- Uppsägning av personal och moralproblem
- Potentiell läcka av immateriella rättigheter eller företagshemligheter.
Vad du ska göra i händelse av ett dataintrång
Alla organisationer som drabbas av ett dataintrång måste ha en solid plan för att mildra konsekvenserna. Här är några idéer och tips om hur man hanterar ett dataintrång:
Behåll lugnet
En personuppgiftsincident har inträffat: att hantera situationen är avgörande för att begränsa händelsen och minimera konsekvenserna. Behåll lugnet och lös problemen.
Bedöm skadan
Utredningen av händelsen är en tidskritisk uppgift. Du måste informera myndigheterna om överträdelsen uppfyller de kriterier som krävs för att den ska vara anmälningspliktig. I Storbritannien måste till exempel Information Commissioner's Office (ICO) informeras inom 72 timmar efter att ett dataintrång upptäckts.
Undersöka händelsen
Registrera alla fakta om händelsen när du får reda på dem. Det är viktigt att du registrerar händelserna och inkluderar skadorna. Denna loggbok kan användas som bevis om fallet hamnar i domstol.
Begränsa överträdelsen
Du kan utveckla en strategi för att begränsa intrånget när du bedömer skadan och registrerar vad som har hänt. Åtgärderna beror på vilken typ av incident som har inträffat. En attack med utpressningstrojaner kräver till exempel mer tekniska åtgärder än en felaktig leverans av ett e-postmeddelande med kunduppgifter. Typen av åtgärder för att begränsa olika typer av incidenter bör noggrant beskrivas i en säkerhetspolicy.
Bedöm risken
Utvärdera hur skadligt dataintrånget var för de inblandade. Finns det till exempel en risk för identitetsstöld eller kan någon riskera att skadas fysiskt? Om du förstår risknivån kan du hjälpa ditt företag att vidta lämpliga åtgärder.
Svara på händelsen
Att reagera på en cyberattack har många olika nivåer. Det handlar bland annat om att hantera efterdyningarna av förlusten av personuppgifter ur de drabbades synvinkel. Det innebär också att din organisation måste omvärdera sin säkerhetsställning. Titta på var de befintliga åtgärderna har misslyckats. Behöver du mer regelbunden utbildning i säkerhetsmedvetenhet? Använder ni kryptering på lämpligt sätt? Ett väl avvägt svar kommer att granska hela händelsekedjan för incidenten så att du kan skärpa din företagssäkerhet.
Åtgärder som hjälper till i samband med en dataskadebrottsreaktion
Ett dataintrång kan orsaka omätlig skada för en organisation. Som nämnts ovan är det dock den mänskliga faktorn i den händelsekedja som leder till ett dataintrång som kan leda till verkliga förändringar.
Resultaten från ISACA-rapporten visar att säkerhetsutbildningen är effektiv. Rapporten visar att 80 % av organisationerna säger att utbildning i säkerhetsmedvetenhet har en positiv inverkan på de anställdas medvetenhet.
Genom att använda personalens utbildning i säkerhetsmedvetenhet som en grundläggande åtgärd i kampen mot cyberattacker kan en organisation förebygga dem. Genom att lägga till åtgärder som datakryptering och robust autentisering till denna säkerhetsutbildning blir det mycket mindre troligt att ett illvilligt eller oavsiktligt dataintrång kommer att inträffa.
