Thursday, September 16, 2021
HomeSocial Media & InternetAssumir a posição de violação não significa que as empresas podem pular...

Assumir a posição de violação não significa que as empresas podem pular a devida diligência em segurança cibernética

Outra semana, outra violação de dados, desta vez envolvendo outro provedor de serviços de comunicação em Cingapura. Com os incidentes de segurança cibernética agora aparentemente comuns, mais organizações devem estar percebendo que é apenas uma questão de tempo antes de serem atingidas, mas estarão erradas ao presumir que é seu cartão antecipado e deixarão de fazer a devida diligência na proteção dados do cliente.

O MyRepublic disse na sexta-feira que os dados pessoais de 79.388 de seus assinantes móveis foram comprometidos, após uma violação de segurança em uma plataforma de armazenamento de dados de terceiros. O sistema afetado continha documentos de verificação de identidade necessários para o registro de serviços móveis, incluindo cópias digitalizadas de carteiras de identidade nacionais de clientes locais e endereços residenciais de residentes estrangeiros.

Perguntei ao MyRepublic se o serviço de armazenamento de dados era baseado na nuvem e se era o único cliente afetado pela violação, mas ele se recusou a fornecer detalhes, citando motivos de confidencialidade e segurança.

Ela revelou, no entanto, que foi informada da violação por “uma parte externa desconhecida” em 29 de agosto, data em que disse que o “acesso não autorizado a dados” foi descoberto. Desde então, ele foi conectado e o incidente “contido”, disse o MyRepublic.

O provedor de serviços de Internet é o terceiro aqui a ser atingido por uma violação de segurança cibernética em apenas seis meses. Apenas em agosto, a empresa de telecomunicações local StarHub disse que um arquivo contendo dados pessoais de seus clientes foi encontrado em um local de despejo. O arquivo continha números de celulares, endereços de e-mail e números de carteiras de identidade de 57.191 pessoas que assinaram os serviços da StarHub antes de 2007. Além de banda larga e celular, a telco também oferece serviços de TV paga em Cingapura. Todos os clientes afetados eram de seu negócio de consumo.

No início de fevereiro, Singtel disse que detalhes pessoais de 129.000 clientes, incluindo nome, data de nascimento, número de celular e endereço físico, foram comprometidos em uma violação de segurança que envolveu um sistema de compartilhamento de arquivos de terceiros, FTA. Lançado pelo provedor de serviços de nuvem norte-americano Accellion há 20 anos, o produto FTA estava se aproximando da aposentadoria e tinha vulnerabilidades que não foram corrigidas de maneira adequada, afetando várias organizações e seus clientes, incluindo Shell e Morgan Stanley.

No caso de Singtel, detalhes financeiros de funcionários de um cliente corporativo também foram comprometidos na violação.

Em seus respectivos incidentes de segurança, MyRepublic e StarHub destacaram que detalhes financeiros, como cartão de crédito e informações de conta bancária, não foram afetados. Eles também observaram que nenhum de seus próprios sistemas foi comprometido.

No entanto, isso deve trazer pouco conforto, uma vez que os ataques de terceiros e da cadeia de suprimentos estão aumentando, abrindo várias maneiras para os cibercriminosos violarem seus alvos finais – qualquer organização com acesso a grandes volumes de dados do consumidor.

Além disso, há pouca indicação de que as organizações estão tomando as medidas necessárias para garantir que toda a sua cadeia de suprimentos seja resiliente e segura. Eles avaliam constantemente a postura de segurança de seus fornecedores terceirizados? O MyRepublic saberia que houve uma violação de dados se a “parte externa desconhecida” não tivesse dado o alarme?

Quando perguntei ao MyRepublic quando avaliou pela última vez as medidas de segurança implementadas pelo fornecedor de armazenamento de dados afetado, ele não especificou uma data. Disse apenas que revisava “regularmente” tais medidas interna e externamente, incluindo a do fornecedor terceirizado implicado na violação.

Não seria capaz de fornecer facilmente uma data específica de sua última avaliação se fosse esse o caso? E se isso for tornado uma disposição obrigatória quando as empresas relatarem um incidente de segurança, juntamente com outros detalhes, como a forma como a violação ocorreu e as partes envolvidas na violação.

O fornecedor de armazenamento de dados não foi citado na violação do MyRepublic, o que deve levar a mais perguntas sobre se outras empresas e os dados de seus clientes também foram afetados.

Todos os dados do cliente devem ser devidamente protegidos

Além disso, o fato de as violações de segurança não comprometerem os dados financeiros não tornam esses vazamentos menos críticos.

Cingapura é pequena, com poucos participantes importantes no mercado de telecomunicações. Provavelmente, os assinantes aqui seriam clientes das três empresas de telecomunicações em algum momento, o que aumenta ainda mais a probabilidade de terem sido afetados por todas as três violações que ocorreram. Isso, na verdade, significa que vários aspectos de suas informações pessoais, abrangendo sua data de nascimento, número de identidade nacional, endereço físico e número de celular, podem ser reunidos para estabelecer um perfil mais completo.

Isso também significa que os cibercriminosos serão capazes de usar esses diferentes conjuntos de dados de informações de identificação pessoal (PII), reunidos a partir de violações de segurança separadas, para esclarecer questões de segurança ou verificar e assumir a identidade de suas vítimas. Eles podem convencer os bancos a emitir cartões de crédito substitutos em nome da vítima, mesmo que nenhum dado financeiro tenha sido comprometido por qualquer violação de segurança.

A violação de dados envolvendo qualquer PII deve ser uma preocupação, especialmente porque as ameaças cibernéticas e os riscos de ataques de terceiros continuam a aumentar.

Em um painel de discussão na Estônia esta semana, o Ministro de Comunicações e Informação de Cingapura Josephine Teo descreveu a segurança cibernética como um desafio “perverso” que não pode ser completamente resolvido.

Isso, de fato, levou o país a mudar sua postura de segurança cibernética, de uma postura focada na prevenção, para uma posição de “assumir violação”, disse Teo. Com essa mentalidade, parte do pressuposto de que os sistemas foram violados ou comprometidos, segundo o ministro, que apontou a necessidade de vigilância e monitoramento constantes para identificar as violações.

Ela disse que é fundamental que os governos já tenham mecanismos de resposta para se recuperarem rapidamente no caso de uma violação, incluindo comunicações claras para manter a confiança do público.

Mas embora seja verdade que não é mais uma questão de “se”, mas de “quando” as organizações experimentam uma violação de segurança, isso não deve significar que elas podem se dar ao luxo de tirar o pé do acelerador ao fazer sua devida diligência e o que é necessário para manter os dados de seus clientes seguros.

Uma abordagem de “supor violação” motivou as empresas a se concentrarem na recuperação e na resposta, o que em si não é errado, porque leva essas empresas a minimizar as interrupções na entrega de serviços. Ele também garante que eles sejam capazes de conter rapidamente a violação e recuperar os dados perdidos.

No entanto, pode desviar a atenção e o investimento do monitoramento e prevenção de ameaças, que são igualmente importantes.

Além disso, os esforços de gerenciamento de risco normalmente farão com que as empresas se concentrem mais na proteção de dados mais críticos – comumente percebidos como detalhes financeiros e de pagamento ou os ativos de propriedade intelectual da empresa. Isso às vezes significa que outros dados não financeiros do cliente serão marcados como menos críticos e armazenados em uma plataforma de armazenamento de dados baseada em nuvem pública ou de terceiros, onde as medidas de segurança podem não ser avaliadas de forma tão rigorosa ou regular pela organização.

É provavelmente a razão pela qual, quando ocorrem incidentes de segurança, os sistemas afetados conteriam dados pessoais do cliente, como seu número de celular ou número de identificação nacional, mas não seus dados bancários ou de cartão de crédito.

As organizações têm a responsabilidade de proteger todos os dados de seus clientes, independentemente de a perda desses dados ter implicações financeiras em seus negócios e resultados financeiros. Como mencionei acima, o roubo de qualquer PII pode acarretar riscos cibernéticos em potencial para um indivíduo, mesmo que sua perda seja considerada como tendo pouco impacto financeiro para a empresa.

Isso significa que as empresas, incluindo startups e plataformas de aplicativos móveis, que coletam e armazenam grandes volumes de informações de clientes, devem tomar as medidas necessárias para garantir a segurança dos dados.

As empresas de telecomunicações, em particular, visam alvos maiores devido ao seu acesso a grandes bancos de dados de consumidores e infraestrutura de comunicações, Joanne Wong, vice-presidente da LogRhythm para mercados internacionais, disse em uma nota sobre a violação do MyRepublic.

“Como uma nação que prioriza o digital, precisamos melhorar nossa defesa contra essas ameaças”, disse Wong. “Sabemos por experiência que pode haver implicações de longo alcance de um único elo fraco e não podemos ficar parados e assistir os mesmos incidentes acontecerem uma e outra vez. As organizações, especialmente nesses setores essenciais – precisam ser proativas e supervisionar em toda a sua cadeia de suprimentos digital, incluindo quaisquer fornecedores terceirizados. Somente quando há monitoramento e vigilância constantes, eles podem identificar e remediar ameaças com rapidez e eficácia. ”

Sobre quanto as organizações devem investir em segurança cibernética. Teo enfatizou a necessidade de entender seu perfil de risco e alocar a quantidade adequada de recursos para proteger seus ativos digitais. Ela acrescentou que Cingapura aconselhou as empresas locais a realizar avaliações de risco e investir de acordo, ao invés de ir para o mínimo para que estivessem em conformidade com os regulamentos.

Acima de tudo, a posição de “assumir violação” não significa que se espera que os consumidores aceitem violações de segurança como parte integrante das negociações com as empresas.

Isso deve significar que as organizações devem ser mais capazes de demonstrar que fez sua parte na proteção de todos os dados do cliente, incluindo informações não financeiras, em seu próprio ambiente, bem como em toda a sua cadeia de suprimentos.

COBERTURA RELACIONADA

source – www.zdnet.com

89c85d7c2b60041e6213747c4bf96cca?s=60&d=mm&r=g asiafirstnews
Sandy J
Hi thanks for visiting Asia First News, I am Sandy I will update the daily World and Music News Here, for any queries related to the articles please use the contact page to reach us. :-
ARTIGOS RELACIONADOS

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Mais popular