データ侵害や漏洩に関しては、企業はユーザーベースに与える可能性のある損害を意識する傾向があります。しかし、影響を受けていない企業は、次の事態が起こらないように状況を分析する一方で、従業員を通じてすでに受けている損害を見逃していることがよくあります。
データ侵害が増加中
この増加は、報告されるインシデントの頻度だけでなく、侵害されたデータ、記録、およびファイルの量にも限定されません。これは、2019 年から 2020 年にかけて侵害の数が大幅に減少した一方で、 公開された記録の量が 2 倍以上に 増加したためです。
しかし、データ侵害や漏洩が日常的に起こっている世界では、それはどの企業にとっても問題です。そして、予防はもはや実行可能な選択肢ではないため、企業は現在、対応とダメージコントロールに重点を置いています。それでもなお、取り組みの大部分は、独自の機密データベースを保有する企業で働く人々ではなく、平均的な消費者の人口統計とプライバシーとセキュリティのニーズに向けられています。
ハッカーの最大の動機は金銭的利益ですが、たとえ間接的であっても、それが侵害の対象となるデータの種類に必ずしも反映されるわけではありません。データを盗んでダークウェブで販売するハッカーが、金融情報、特にプリペイドカードの場合、そこから大きな利益を得ることはめったにありません。
これらのカードには十分な資金がほとんどないため、この種の情報はダークウェブではあまり売れません。また、銀行や金融サービスプロバイダーは、強力なセキュリティと本人確認要件を課す傾向があります。たとえば、60万枚のペイメントカードがダークウェブに流出した最新の事件を考えてみましょう。資金はほとんど入っておらず、各カードの平均価格は 50 ドル未満でした。
最も損害を与えるために使用される可能性があるのは個人情報です。個人の氏名、 電話番号 、電子メール アドレスから社会保障番号、個人情報やファイルに至るまで、あらゆるもの。
支払いカードは、比較的安全で迅速な利益を求めるハッカー向けです。個人情報は、より大きなターゲットを狙う悪意のある人物によって使用されます。
従業員への影響
あらゆる業界や企業の従業員は全員、別の企業の消費者です。上記企業のデータ侵害や漏洩は、従業員やビジネスにさまざまな形で影響を与える可能性があります。
ストレスの増加と生産性の低下
自分のプライバシーが侵害されたことに気づいたときに人々が直面する感情的な影響は否定できません。また、侵害に含まれた個人データの種類によっては、私生活や人間関係も打撃を受けた可能性があり、そのすべてが職場環境に影響し、生産性や仕事の質の低下につながる可能性があります。
侵害されたデータと個人情報を保護し、変更するには多大な労力がかかります。従業員は、口座を保護するために銀行を訪問しなければならず、それらの口座の古い電子メールとパスワードをすべて置き換える作業をしなければならないため、過重労働になる可能性がありますが、これは時限爆弾に他なりません。
交差汚染
データ侵害による精神的な影響は従業員に集中しており、従業員の仕事に影響を与える可能性があります。それでも、相互汚染のより直接的な脅威は常に存在します。
1 人以上の従業員が関与した侵害の種類に応じて、公開されるデータの種類は異なります。サイバーセキュリティとデジタルディスタンシングの意識が社内で顕著でない場合、従業員の情報が漏洩すると、デジタル資産のセキュリティが危険にさらされる可能性もあります。
個人アカウントでも仕事関連のアカウントと 同じ電子メール アドレス、電話番号、さらにはパスワードを使用している 場合、その情報や資格情報にアクセスした人は誰でも会社に侵入できるようになります。仕事関連のファイルを個人のデバイスやクラウド ストレージに保存している場合、その結果はさらに悲惨になる可能性があります。
フィッシング詐欺のターゲットになりやすい
フィッシング攻撃は主に、加害者がターゲットについてどれだけ知っているかに依存します。そのため、自動宝くじの当選、遠縁の親戚の遺産、または荷物の配達料金などを狙ったフィッシング詐欺は、現在ではほとんど機能しませんが、高度にパーソナライズされたフィッシング詐欺は回避するのが困難です。攻撃者は、より正当であるかのように見せるために、ターゲットに関する社会保障番号、日付、生年月日などの機密情報を含めることができます。
データ侵害を目的としたフィッシング攻撃は、その人自身を狙っている可能性は低いです。結局のところ、彼らはその人がどこで働いているか、社内での立場や階層を知っている可能性があります。従業員の 1 人を会社全体へのゲートウェイとして使用する可能性があります。これは、企業を直接ターゲットとするフィッシング詐欺と同様ですが、成功率ははるかに高くなります。
解決策は?
他の企業をデータ侵害や漏洩から保護するためにできることはあまりありません。しかし、それは、適切に反応し、間接的にその中に含まれる可能性に備えることができないという意味ではありません。
デジタルディスタンシングを強制する
職場環境におけるデジタル ディスタンシングとは、従業員の個人用デバイスと仕事用デバイスおよびアカウント間の接続を制限または排除することです。このアプローチは、従業員に業務支給のデバイスを提供する予算がない中小企業や、個人のラップトップとアカウントを使用して会社のプロジェクトに取り組む リモート ワーカー に大きく依存している企業では、実装がより困難になる可能性があります。電子メールを使用して仕事専用プラットフォームにサインインします。
デバイスの分離が含まれていない場合でも、アカウントの分離を強制する必要があります。すべての従業員が仕事専用のアカウントと個人アカウントでは決して使用されない強力なパスワードを持たなければならないことを強調し、 2FA やパスワードなしのログイン などの一種の本人確認を強制します。
オープンなコミュニケーションの促進
誰もフィッシング詐欺に引っかかるとは思っていませんが、それでもフィッシング詐欺は起こります。最新のフィッシング攻撃に関する定期的かつ集中的なトレーニングに加えて、複雑なフィッシング攻撃に関して従業員を放っておいてはいけません。
従業員と会社の IT 部門およびセキュリティ部門の間のオープンなコミュニケーションを促進します。不審と思われる電子メールやメッセージについては、従業員に連絡するよう奨励します。また、デフォルトとして従業員を責めることも避けるべきです。そうすることで、従業員がフィッシング攻撃に遭った場合でも、パニックに陥って自分たちで問題を隠蔽するのではなく、すぐに IT 部門に連絡することができます。
精神的なサポートを提供する
従業員のストレスや、データ侵害後に従業員が受ける感情的な影響を管理する場合、提供できる唯一のことは理解と精神的サポートです。また、生活を正常に戻すのが早ければ早いほど、再び適切な仕事に早く戻ることができます。
データ侵害や漏洩の被害者に、個人情報を変更して保護するために銀行に相談したり、政府機関を訪問したりするために必要な休暇と柔軟なスケジュールを提供することを検討してください。
