הקבינט הבטחוני
Hyatt מתחילה עידן חדש של אחריות תאגידית בסייבר
החדשות כי רשת מלונות הייאט (Hyatt) פרסמה רשימה של מלונות שנפגעו מקוד זדוני אשר נמצא בשנה שעברה במערכת תשלומי הלקוחות בשנה, הן בהחלט צעד בכיוון הנכון מבחינת שקיפות לגבי דליפות נתונים מצד ארגונים גדולים.
בנוסף, העובדה כי רשת המלונות חברה לחברת אבטחה כדי להעניק ללקוחות אשר שהו באחד מהמלונות שנפגעו הגנת אבטחה חינם לשנה, מראה כי חברות המחזיקות בנתוני לקוחות מכירות בכך שיש להן אחריות עצומה לשמירה עליו, וכי הן מבטיחות שהוא לא ייפול לידיים זרות.
לרוע המזל, עבור כל מי שנפגע מהדליפה בהאייט תגובה זו מגיעה מאוחר מידי, והיא מדגימה כי עסקים וצרכנים צריכים לבחון תהליכי אבטחה, לפני שדליפת נתונים מכריחה אותם לעשות זאת – מניעה עדיפה על תרופה.
באירוע שכזה, הזמן שחולף בין התרחשות הדליפה ועד שהעסקים מגלים האם עברייני סייבר מחזיקים בנתוני הלקוחות, בצירוף הזמן שחולף מרגע שהעסק מגלה ועד שהוא מודיע ללקוחות, יכול להיות ארוך ולגרום בכך נזק רב.
ישנם מספר סיכונים שכל הארגונים אשר מבצעים עסקאות מקוונות צריכים לשקול. לדוגמא, עברייני סייבר יכולים להשתמש בהודעות פישינג כדי להפנות לקוחות לאתרים מזויפים. הם יכולים להתקין קוד זדוני על מחשבי הלקוחות כדי לגנוב את פרטי החשבונות וסיסמאות, או שהם יכולים להשתמש בקוד זדוני כדי ליירט עסקאות פיננסיות וליצור עסקאות מזויפות משלהם.
לכל עסק אשר מטפל בעסקאות פיננסיות מקוונות יש אחריות לאבטח את המידע האישי של הלקוחות שלו, לצד אבטחת הנתונים שלו עצמו. הדברים חייבים להתחיל בהפעלת אבטחה על עסקאות מבוססות רשת. הם גם חייבים לכלול הסתרה והסוואה של סיסמאות (hashing and salting) והצפנה של נתונים אישיים אחרים – כך שאם מתרחשת דליפה, הלקוחות מרגישים בטוחים יותר בידיעה כי הנתונים מוצפנים. כדי להקטין את הסיכונים אף יותר, חשוב להטמיע טכנולוגיות ניטור נגד הונאות, אשר מנתחות התנהגות לקוחות במהלך עסקאות מקוונות, ומתריעות על פעילות חשודה בתוך תשתית ה- IT. הדבר ממזער את הסיכונים הנובעים מבעיות באבטחה במכשיר הלקוח, עליו לארגון אין שליטה ישירה.
לאור החקיקה המתקרבת של האיחוד האירופאי אשר תחייב חברות לדווח על דליפות נתונים, ארגונים חייבים להתחיל ולשוקל כיצד הם מתמודדים עם התקפות שכאלה.
- דיוויד אמם הוא אנליסט בכיר בצוות החוקרים של מעבדת קספרסקי