個人情報の盗難は従来、個人にとっての懸念事項でしたが、現在では企業にとっての懸念事項となっています。それは従業員の忠誠心を損ない、顧客にあなたと関わるのは危険すぎると思わせる可能性があります。
違反、罰金、損害賠償
個人識別情報 (PII) の侵害や PII の不適切な使用は、高額の罰金を科せられる可能性があります。欧州では、 一般データ保護 法に基づく多額の罰金の第一波が不運な企業に襲い掛かった。 H&M (ヘネス&マウリッツ オンライン ショップ) は 4,100 万ドル相当の罰金を科されました。
また、GDPR はヨーロッパの企業だけに適用されるものではありません。あなたがヨーロッパ人を雇用している場合、またはヨーロッパで貿易や事業を行っている場合、そしてヨーロッパからアクセスできるウェブサイトを持っていて、そこに人々があなたに連絡するために使用できる電子メール アドレスがある場合、それは取引とみなされます — GDPR があなたに適用されます。あまりにも。こうして Google は 5,850 万ドルの罰金を科せられました 。
もちろん、GDPR は単なる規制の 1 つにすぎません。米国では、 1994 年運転者プライバシー保護法 (DPPA) 、 児童オンライン プライバシー保護法 (COPPA) 、新しい カリフォルニア州消費者保護法 (CCPA) など、データ保護法が米国法典全体に散在しています。
罰金だけでは十分ではないかのように、データ侵害やその他のデータ関連の不遵守に伴う風評被害は、ビジネスや顧客との関係に多大な影響を与える可能性があります。ビジネス上の関係には注意が必要です。それらを育て、維持するには時間と労力がかかります。しかし、下手な PR によって一夜にして壊れたり失われたりする可能性があります。場合によっては、 悪い評判が広まってしまうこともあります 。
すべての企業は、従業員、サプライヤー、顧客の PII を保持しています。データの収集、保護、正当な使用には自分たちが責任があることを認識する必要があります。 IBM による 2020 年 のデータ侵害のコスト レポートによると、PII 記録の損失 1 件あたりのビジネスへの財務的影響は 150 米ドルです。
盗まれた PII によって、攻撃者がスタッフのメンバーになりすまし、顧客、サプライヤー、銀行、または送金権限を持つ会計部門の担当者と納得のいく通信ができるようになった場合、コストははるかに高くなります。 。
PII と個人情報の盗難
個人情報の盗難は、クレジット カード、割増購入取引、リース、オンライン購入、オンライン バンキングに関連するさまざまな詐欺をカバーする包括的な用語です。個人情報の盗難は、多くの場合、PII の盗難または漏洩に関連しています。
コンピュータが主流のビジネスの世界に普及した瞬間から、企業は PII を収集、保存、処理してきました。個人に関する単一のデータはすべて PII です。データを PII としてカウントするには、誰かを明確に特定するデータのデジタル ジグソー全体を保存する必要はありません。ジグソーパズルの一部でも保持している場合、そのデータの断片は PII として分類され、その人の完全なデータ ダンプと同じくらい強力に保護する必要があります。
攻撃者の観点から見ると、誰かに関する完全なデータ記録を取得することは、ペイダートにアクセスするようなものです。しかし、たくさんの小さな塊が十分に見つけられれば、価値のある収穫物になるのと同じように、少しの情報でも彼らにとっては役に立ちます。保持する PII が多くなり、データを保持する人の数が増えるほど、ターゲットとしての魅力が増します。
しかし、それは中小企業が犯罪者に無視されるという意味ではありません。そして実際、彼らは企業規模の組織ほど厳格なサイバーセキュリティの保護と管理を導入していない可能性が低く、それらを実装して監督する専任のスタッフもいないため、好まれる標的となる可能性があります。
実行可能な個人情報盗難のペルソナを構築するために、個人のゴミ箱や会社のゴミ箱を探し回って紙ベースの情報を探す時代は終わりました。この種の詐欺はハイテク化されており、非常に価値のあるものになっています。必然的に、組織犯罪の注目を集めることになります。データ窃盗犯は組織犯罪グループのために活動しており、盗んだ PII を使用して詐欺行為を行っているか、小規模なサイバー犯罪組織がダークウェブ上でデータを販売しています。
一部の盗まれた PII は、攻撃者に短い機会を与えます。情報が脅威アクターによって使用されるとすぐに、被害者がその情報に気づきます。被害者は、銀行、クレジット カード会社、オンライン ショッピング、社会保障などのサービス プロバイダーに警告すると、アカウントが凍結されるか、その他の措置を講じる必要があります。ただし、不正行為が長期間検出されない場合もあります。
なぜ侵害が起こるのか
内部関係者の間違い
ラップトップを電車に置き忘れたり、スプレッドシートを間違った人に電子メールで送信したりするなどの事故が発生します。方針や手順が守られず、多くの場合、プレッシャーやストレスがかかったときに発生し、義務付けられた慣行が無視されたり、手抜きが行われたりすることで事故が発生することがあります。
フィッシング攻撃 や スピア フィッシング 攻撃は、スタッフ メンバーに ルートキット や リモート アクセス トロイの木馬 (RAT) などのマルウェアを不用意にインストールさせるために、攻撃者によって使用されます。ここでも仕事のプレッシャーが影響します。嫌がらせを受けて苦労しているスタッフは、電子メールまたはその添付ファイルが本物か悪意があるかを判断するために立ち止まって精神的なチェックリストを実行する可能性が低くなります。
悪意のある内部関係者
不満を抱いた従業員は、PII データ侵害を画策して、会社に対する復讐的な正義とみなされるものを制定する可能性があります。経済的利益を得るために PII を盗む人もいるかもしれません。彼らはあなたの会社になんとか就職した工場かもしれませんが、実際には競合他社で働いており、産業スパイを行っています。
アウトサイドアタック
PII データ侵害の大部分は外部の攻撃者によるものです。個人情報の盗難は儲かる(犯罪)ビジネスとなり、組織犯罪が関心を寄せているため、攻撃は組織的かつ洗練されています。フィッシング攻撃を仕掛けたり、脆弱性を悪用したり、辞書攻撃を使用して使用されているパスワードを調べたりする可能性があります。
暗号化はあなたの友達です
暗号化はあなたの味方ですが、万能のサイバーセキュリティ万能薬ではありません。システムを保護するには、適切な技術的防御、ポリシーと手順による堅牢な IT ガバナンス、およびサイバーセキュリティ意識に関するスタッフのトレーニングを使用する必要があります。
ハードドライブ、外付けドライブ、バックアップシステムなどのストレージデバイス上のデータは暗号化する必要があります。オフサイトとローカルの両方のバックアップを暗号化する必要があります。ラップトップ、スマートフォン、タブレット、メモリー スティック、CD-ROM などのすべてのモバイル デバイスを暗号化する必要があります。
暗号化してもデータの盗難は阻止できません。他の防御策も効果があることを願っています。しかし、データを暗号化することで、サイバー犯罪者がデータを入手することで利益を得ることを防ぐことができます。 紙幣で染料パック を使用するようなものです。金庫が盗まれると染料パックが爆発し、お金が消えないほど汚れて使い物にならなくなります。染料パックを使用しても金庫の盗難や吹き飛ばしは阻止できませんが、犯罪者に代償はありません。
また、暗号化されたデータの侵害は、データ保護法の観点からは、平文の PII の損失よりもはるかに悪質な軽犯罪です。
暗号化テクノロジーは、現在さまざまな製品で企業に利用可能です。多くの場合、これは Microsoft 365 電子メールなどの製品提供に不可欠な部分です。
オンプレミス システムを暗号化できる製品も利用できます。暗号化製品を選択して導入した後も、さまざまな暗号化製品を定期的に確認する必要があることに注意してください。最善の暗号化プログラムであっても、アルゴリズムに欠陥があり、暗号化が悪用されやすい状態になっていることが判明する可能性があります。したがって、製品を選択したまま忘れないでください。製品に関する決定が現在も有効であることを確認してください。
暗号化には、独自のガバナンスとメンテナンスのオーバーヘッドが伴います。暗号化ルーチンは 暗号化キー を使用します。これらは、データをエンコードおよびデコードするアルゴリズムで使用される、一見ランダムな文字と記号の文字列です。そして、すべての重要なキーと同様に、キーも保護され、キーへのアクセスが管理および制御される必要があります。企業全体に大規模な暗号化を導入することを計画する場合は、これらのトピックに対処する必要があります。
暗号化の導入
データ資産レジストリがない場合は、データ監査を実行してレジストリを作成します。少なくとも、どのようなデータを保持しているのか、どこに保存されているのか、誰がアクセスする必要があるのか、そしてそのデータの機密性や重要性を知る必要があります。 GDPR などの現地の法律では、これよりもさらに詳細な規定が求められる場合があります。
データを分類する
データを次のようなバンドに分類します。
- 制限されたデータ: このカテゴリのデータが侵害されると、何らかの形で会社に重大な損害が発生します。このデータには最高レベルの制御と保護を適用する必要があります。
- プライベート データ: 制限されておらず、公開されていないすべての企業データはプライベートとみなされます。個人データへの不正アクセスは、会社に中程度のリスクをもたらします。このデータには、適切なレベルの制御と保護を適用する必要があります。
- パブリック データ: 制御と保護はほとんど、またはまったく必要ありません。
データの有効期限を設定する
データにそれ以降は役に立たなくなる日付があり、その期間内に暗号化を破ることができないことがわかっている場合、データは安全であると考えることができます。
クレジット カードなどの一部のデータには明確な有効期限があります。誰かがクレジット カード番号と カード検証値 (CVV) コードを取得した場合、それらを使用できるのはカードの有効期限までだけです。
PII の要素などのその他のデータには、ID 関連の詐欺の被害者が銀行取引明細書の奇妙な記載など、何かが間違っていることに気づくと予想するのに合理的な期間があります。
デューデリジェンスと市場調査の実施
前述の手順とデータ資産登録、そしてもちろん予算に基づいて、利用可能な暗号化ツールを検討し、ニーズに最適なものを選択してください。
ポリシーと手順を設定する
既存のポリシーと手順を作成または更新して、暗号化ツールの使用の制御とガイダンス、および暗号化キーの制御と保護を提供します。
スタッフトレーニングの実施
スタッフ向けのトレーニング セッションを提供して、変更の背景にある理由、新しい働き方とは何か、スタッフに何が期待されているかを理解できるようにします。これらの措置がユーザーとそのデータを保護するように設計されていることを明確にしてください。
新入社員の入社プロセスの一環として、この種の説明会を組み込みます。
基本を忘れずに
ビジネスまたはクラウドベースのリソースへのリモート接続は、安全で暗号化されたプロトコルを使用して確立する必要があり、すべてのアプリケーションとオペレーティング システムに最新のアップグレードとセキュリティ パッチを適用する必要があります。
暗号化によって盗まれたデータが保護されることに注意してください。暗号化によってデータの盗難が阻止されるわけではありません。
