I takt med att dataintrång blir allt vanligare är det inte längre en fråga om huruvida en organisation kommer att attackeras utan när. Cyberkriminella har utnyttjat den rådande situationen för att lansera en rad sofistikerade cyberattacker som riktar sig mot en rad olika branscher.
Den ständiga strömmen av dataintrång verkar inte avta, och om något så ökar de i frekvens och allvarlighetsgrad. Enligt en nyligen publicerad riskbaserad säkerhetsrapport har det under de första sex månaderna 2020 redan avslöjats hela 8,4 miljarder uppgifter.
De långsiktiga konsekvenserna av ett dataintrång har blivit allt för verkliga och många organisationer är nu mycket medvetna om den skada som ett kostsamt intrång kan medföra. De böter som British Airways och Marriot ålagts visar hur allvarligt ICO tänker ta överträdelser av GDPR framöver.
Hur påverkas organisationer som drabbas av intrång?
Ett dataintrång kan orsaka irreparabel skada och de långsiktiga effekterna kan vara förödande. Förutom de höga böter som kan utdömas till följd av bristande efterlevnad kan organisationer drabbas av ytterligare kostnader för driftsstopp, förlust av kunddata, införande av nya säkerhetsåtgärder och kompensation till drabbade kunder.
Ett intrång kan också påverka konsumenternas förtroende, aktievärdet och varumärkets rykte avsevärt. Den olyckliga verkligheten är att många konsumenter helt enkelt förlorar förtroendet för ett företag om de tror att deras personuppgifter inte skyddas ordentligt.
Dataintrång kan ha en betydande inverkan på företags värderingar och aktiekursen. Ett utmärkt exempel på detta var Yahoos dataintrång 2013. Över 3 miljarder användarkonton avslöjades och känslig kundinformation exponerades, inklusive e-postadresser, lösenord, telefonnummer och födelsedatum.
Överträdelsen uppdagades 2016 när företaget var på väg att köpas upp av det amerikanska telekombolaget Verizon. Förvärvet gick igenom och investerarna köpte Yahoo för en rabatterad summa på 4,48 miljarder dollar, cirka 350 miljoner dollar mindre än det ursprungliga aktiepriset.
I en rapport från yrkesorganisationen (ISC)2 betonas också hur ett dataintrång kan påverka ett företags värdering. Forskningen visade att om ett företag drabbas av en dataintrång kan det avsevärt sänka aktiekursen på aktiemarknaden.
250 amerikanska experter på fusioner och förvärv tillfrågades i rapporten, och 49 % av dessa experter har bevittnat att ett fusions- eller förvärvsavtal har fallit till följd av ett dataintrång. Dessutom sade 86 % av de tillfrågade att om ett företag offentligt rapporterade en överträdelse i sitt förflutna skulle det minska det tilldelade förvärvspriset.
77 % sa dock att de tidigare hade rekommenderat att ett företag skulle förvärvas framför ett annat på grund av styrkan i dess cybersäkerhetsprogram. 96 % hade också noterat att beredskapen för cybersäkerhet ingår i beräkningen när de bedömer det totala monetära värdet av ett potentiellt förvärvsmål.
Undersökningen visar att även om de flesta företag helst inte skulle vilja råka ut för ett dataintrång, kommer finansiärer och företagsledare att se mer positivt på dem om de har vidtagit åtgärder för att hantera det på ett bra sätt, anpassat sina policyer och processer och förbättrat sin övergripande säkerhetsställning.
Ett gediget program för medvetenhet om cybersäkerhet är nyckeln till att minska riskerna och förbereda sig för det oundvikliga. Om organisationer investerar i cybersäkerhet och kan visa att de har vidtagit alla nödvändiga åtgärder för att skydda sin informationssäkerhet är det inte troligt att de kommer att drabbas av tillsynsmyndigheternas vrede och att deras aktievärde inte påverkas lika negativt som de företag som valt att inte göra någonting.
Klicka här för att läsa mer om de fem skadliga konsekvenserna av ett dataintrång.
Bästa metoder för att undvika dataintrång
- Utbildning av personal - Det bästa sättet att skydda din organisation mot attacker är att ge din personal goda vanor när det gäller cybersäkerhet. 60 % av de 4856 personuppgiftsincidenter som rapporterades till ICO under första halvåret 2019 berodde på mänskliga fel. Organisationer kan ha en tendens att fokusera på externa hot, men det är ofta deras egna anställda som utgör den största säkerhetsrisken. En omfattande kampanj för säkerhetsmedvetenhet som utnyttjar en rad olika verktyg och tekniker är det bästa sättet att engagera personalen och utbilda dem om det föränderliga hotlandskapet.
- Uppdatera säkerhetsprogram - Säkerhetsprogram bör uppdateras regelbundet för att förhindra att hackare får tillgång till nätverk genom sårbarheter i äldre och föråldrade system. Det är exakt så hackare kunde komma åt över 143 miljoner amerikaners personuppgifter i det ökända Equifax dataintrånget 2017. En lösning för denna sårbarhet gjordes tillgänglig två månader före intrånget, men företaget underlät att uppdatera sin programvara.
- Regelbundna revisioner och riskbedömningar - GDPR anger att organisationer måste genomföra regelbundna revisioner av databehandlingsaktiviteter och följa en uppsättning principer för dataskydd som hjälper till att skydda uppgifter. Detta kommer att säkerställa att ett lämpligt ramverk finns på plats som kommer att hålla kundernas personligt identifierbara information säker och minska eventuella risker. Genom att införa ett effektivt system för hantering av policyer kan organisationer visa att de uppfyller lagstiftningens krav och effektivt inrikta sig på de områden som utgör den största risken för datasäkerheten.
- Lösenordssäkerhet - Ett av de enklaste sätten för hackare att få tillgång till känsliga företagssystem är att gissa lösenord. För extra säkerhet bör användarna skapa en lösenfras som är ett lösenord som består av en mening eller en kombination av ord. Den första bokstaven i varje ord utgör grunden för lösenordet och bokstäverna kan ersättas med siffror och symboler för att lägga till ytterligare en försvarslinje. Tvåfaktorsautentisering (2FA ) ger också ytterligare ett säkerhetslager för kontona. Förutom ett lösenord kräver 2FA en andra information för att bekräfta användarens identitet. Detta kan vara en säkerhetsfråga, ett fingeravtryck eller en engångskod.
För att förbättra medvetenheten om cybersäkerhet inom din organisation och minska risken för kostsamma dataintrång har vi skapat en gratis guide med 10 praktiska tips om hur du kan förbättra personalens medvetenhet om cybersäkerhet.
I den här guiden får du lära dig:
- Hur man utvecklar en robust plan för medvetenhet om cybersäkerhet som minskar risken för dataintrång.
- Vad som krävs för att ett program för medvetenhet om cybersäkerhet ska vara effektivt.
- Praktiska tips för att förbättra personalens medvetenhet om cybersäkerhet.
Klicka här för att få tillgång till guiden 10 sätt att förbättra personalens medvetenhet om cybersäkerhet.