La recent filtració de dades de material sensible de l’empresa ha generat una sèrie d’implicacions a tenir en compte. La fuga de dades és un problema greu a les empreses que gestionen informació confidencial. Les infraccions de dades poden exposar detalls comercials propietaris, afectant la reputació de l’empresa i com la perceben els seus clients i la gent en general. Per tant, és de la màxima importància aprofundir en què pot suposar aquesta filtració per al futur de l’empresa.
Aquest article tractarà les possibles implicacions d’aquesta violació de dades, incloses les preocupacions de privadesa, les pèrdues financeres, les repercussions legals i els danys a la reputació. A més, també es descriuran mesures preventives, que poden adoptar tant les empreses com els particulars per ajudar a protegir les dades sensibles de la caiguda en mans malintencionades. En definitiva, una millor consciència dels riscos de seguretat i l’augment de les mesures de protecció ajudaran a reduir la probabilitat de fuga de dades per a totes les parts implicades.
Les dades de 6,5 milions de ciutadans israelians es filtren en línia
Recentment s’ha produït una filtració de dades de 6,5 milions de ciutadans israelians, amb diverses dades personals, com ara noms complets, números d’identificació nacionals i adreces en línia.
Aquestes dades inclouen informació de persones que viuen a Israel i, potencialment, podrien augmentar les amenaces de seguretat existents, ja que els pirates informàtics poden utilitzar aquesta informació per accedir a comptes sensibles.
En aquest article, analitzarem els antecedents d’aquesta filtració de dades i en parlarem de les implicacions.
Què va passar?
El 2019 es va informar d’una filtració massiva de dades d’una de les empreses de puntuació de crèdit de consum més grans del món, Experian. L’accés no autoritzat va exposar la informació personal de milions de persones, inclosos números, noms, dates de naixement i adreces de la Seguretat Social. Tot i que l’empresa no ha revelat quants registres es van veure afectats per aquesta bretxa de seguretat, s’estima que gairebé 15 milions de registres es van veure potencialment compromesos.
L’empresa ha notificat als afectats per l’incompliment i els ha ofert un any gratuït de serveis de protecció contra robatori d’identitat. L’empresa també ha implementat mesures de seguretat addicionals i està treballant per garantir que els seus sistemes siguin segurs en el futur.
A més, els investigadors federals estan investigant aquest incident per determinar si es va violar alguna llei. Això inclou avaluar si a Experian hi havia proteccions adequades per a les dades dels consumidors abans que es produís la filtració i quines mesures es podrien haver pres per evitar que es produís un incident d’aquest tipus.
Queda per veure quina forma podrien adoptar les accions legals contra Experian si les investigacions mostren que va ser culpable del mal maneig de les dades dels clients.
Qui es va veure afectat?
La informació filtrada prové de 33 empreses, la més destacada és Exactis, una empresa d’anàlisi de dades amb seu a Florida. A més d’exposar prop de 340 milions de registres individuals, les dades compromeses incloïen dades personals com ara adreces de casa, correu electrònic i números de telèfon intel·ligent, i trets com l’afiliació i els interessos religiosos. Tanmateix, no està clar quantes persones es veuen afectades per la filtració.
La quantitat d’informació personal es va allotjar en un servei al núvol que estava disponible per a qualsevol accés sense contrasenya, és a dir, pràcticament qualsevol hi podia accedir. Tot i que encara no hi ha cap evidència d’explotació maliciosa d’aquestes dades, les organitzacions i els governs de tot el món continuen preocupats per les seves implicacions per a la seguretat i la privadesa en línia.
Tot i que Exactis encara no ha confirmat quines empreses tenien les dades dels seus clients compromeses, ni quant de temps havien estat exposades les dades, algunes organitzacions destacades han confirmat que estaven afectades. Aquestes organitzacions inclouen cadenes hoteleres com Marriott i Hilton, bancs com Citigroup i Wells Fargo, gegants minoristes com Home Depot i Target, companyies aèries com JetBlue Airways i Delta Air Lines, companyies de lloguer de cotxes com Hertz i Avis Budget Group Inc., telecomunicacions com ara AT&T Inc., l’agència d’informes de crèdit al consumidor Experian PLC, la principal companyia d’assegurances mèdiques UnitedHealth Group Inc., l’emissora pública PBS Newshour, tots els quals poden haver exposat la informació personal dels seus clients per aquest incompliment.
Implicacions
Les dades filtrades, que contenen informació personal de 6,5 milions de ciutadans israelians, inclouen noms complets, números de telèfon, dates de naixement i sexe. La filtració és una de les principals causes de preocupació, ja que podria provocar robatori d’identitat, frau financer i altres activitats malicioses perpetrades per delinqüents.
En aquest article, explorarem les implicacions d’aquesta violació de dades i les possibles solucions per evitar-ho.
Preocupacions de privadesa
Les possibles implicacions d’aquesta filtració es relacionen amb la privadesa dels afectats. Les persones de les quals s’han filtrat dades personals o financeres poden patir diversos problemes, com ara robatori d’identitat, danys a les seves qualificacions creditícies i altres formes d’infracció del seu dret a la privadesa.
A més, qualsevol empresa o institució governamental que hagi patit una pèrdua de dades a causa de l’incompliment pot patir greus danys reputacionals que poden tenir conseqüències a llarg termini.
També hi ha la possibilitat que altres puguin obtenir accés no autoritzat a informació confidencial que es podria utilitzar de manera cruel. Per exemple, els individus o els grups poden utilitzar la informació filtrada per a extorsió o xantatge, o els governs poden intentar explotar les dades personals amb finalitats d’espionatge. Això suposa importants riscos de seguretat per als afectats per la violació i per a la societat en general.
Implicacions financeres
La filtració d’informació confidencial d’una organització pot tenir implicacions financeres de gran abast, tant a nivell directe com indirecte.
A nivell directe, si la filtració de dades implica registres financers o informació de pagament, l’empresa pot ser responsable si els clients o altres parts interessades que utilitzen aquesta informació pateixen alguna pèrdua. L’empresa pot veure’s obligada a fer pagaments d’una compensació excepcional per recuperar la confiança i fiabilitat dels seus usuaris.
A nivell indirecte, és probable que les empreses pateixin una pèrdua de confiança dels clients i arribin a danyar la seva reputació a gran escala. Els danys a la reputació es poden manifestar de diverses maneres, des de l’abandonament del client fins a la precaució dels inversors quan inverteixen capital a l’empresa. A més, les infraccions de dades poden fins i tot limitar l’accés dels consumidors a causa de sancions reguladores que afegirien encara més pèrdues financeres per a l’empresa limitant les seves fonts d’ingressos a través de la clientela. Finalment, fins i tot hi ha possibilitats d’accions legals per part de les persones afectades, com ara demandar per incompliment de la privadesa, que probablement comportarà costos addicionals i innecessaris per a les organitzacions que s’han enfrontat a aquestes violacions de dades.
Possibilitat de robatori d’identitat
Una de les implicacions més importants i preocupants d’aquesta filtració de dades és el potencial de robatori d’identitat. Una violació de dades d’aquesta magnitud és un objectiu molt atractiu per als estafadors i pirates informàtics que busquen explotar qualsevol vulnerabilitat dels sistemes abans i després de la violació de la privadesa. A més, les víctimes d’aquesta violació poden trobar-se en risc amb la seva informació personal potencialment en accés directe per part d’actors maliciosos de tercers, ja que la majoria de bases de dades filtrades contenen informació d’identificació personal (PII). Amb la PII, el robatori d’identitat es pot convertir en una realitat per a algunes persones.
El perill real inherent a un incident com aquest rau en la nostra incapacitat per determinar què passa amb la nostra IIP després de l’exposició. El nom i la data de naixement d’una persona es mantindran sense canvis al llarg del temps. Com a resultat, poden ser utilitzats per actors d’amenaces amb intencions malicioses de diverses maneres, com ara la creació de comptes en línia fraudulents utilitzant la identitat de la víctima, que de vegades provoca pèrdues financeres importants o fins i tot la contractació de préstecs en nom d’una altra persona sense que mai ho sàpiguen.
La importància potencial creada per qualsevol violació de dades és enorme, per molt insignificant que pugui semblar inicialment; per tant, és important que les persones prenguin periòdicament les mesures necessàries per protegir de manera proactiva les seves identitats: comprovant sovint els seus informes de crèdit, mantenint els seus ordinadors actualitzats amb les actualitzacions de seguretat rellevants i utilitzant programari anti-malware/antivirus, mantenint-se diligent xarxes socials, etc., ja que la nostra informació sensible segueix sent vulnerable tret que fem un esforç per protegir-nos del robatori de dades.
Solucions
La recent violació de dades de 6,5 milions de ciutadans israelians ha causat una gran preocupació entre el públic. Les dades filtrades inclouen informació personal com ara números de telèfon, adreces i altres detalls sobre els ciutadans israelians. En conseqüència, s’han de prendre mesures per protegir les dades i evitar incidents similars.
En aquesta secció s’analitzaran les solucions que es poden adoptar per protegir les dades i garantir-ne la seguretat.
Esforços governamentals
La creixent preocupació del públic entre la gestió de les dades corporatives i la privadesa individual ha portat els governs a imposar regulacions més dures. La legislació nacional específica, com ara el Reglament general de protecció de dades (GDPR) a Europa i la Llei de privadesa del consumidor de Califòrnia (CCPA) als Estats Units, sovint exigeixen que les empreses informin els clients de les infraccions de dades i proporcionin procediments segurs per abordar la filtració. Aquesta legislació augmenta el control de les empreses i les anima a prendre més precaucions contra els actors maliciosos que puguin amenaçar la seva informació confidencial.
A més, les agències federals dels EUA han creat un marc que consta de múltiples actes i lleis dissenyades per protegir la privadesa dels clients. Per exemple, la Regla de salvaguardes de la FTC exigeix que les institucions financeres posin en pràctica mesures sòlides per protegir la informació privada dels seus clients de les filtracions de dades o les infraccions de seguretat. La Llei Gramm-Leach-Bliley també obliga a les empreses d’indústries específiques, com ara bancs o asseguradores, que s’adhereixin a determinats estàndards per protegir les dades dels clients quan les recullin, utilitzen o comparteixen amb tercers. Aquestes lleis incentiven les organitzacions a invertir molt en ciberseguretat per complir amb les expectatives governamentals.
Solucions del sector privat
Les organitzacions han d’abordar les complexitats de les amenaces de ciberseguretat actuals des d’una perspectiva tècnica i empresarial. Per exemple, les empreses no haurien de confiar només en la tecnologia i el personal de ciberseguretat per mantenir-se segures. Tot i així, han d’avaluar la seva gent, els seus processos i els entorns tecnològics per determinar on es troba el risc més alt. Els líders del sector privat haurien d’invertir en la formació del seu personal per reconèixer els indicadors d’activitat sospitosa. A més, les organitzacions haurien d’establir protocols o directrius de bones pràctiques que el personal ha de seguir quan respon a possibles atacs mentre implementen procediments de control d’accés sòlids que restringeixin els privilegis al personal autoritzat amb una necessitat de coneixement vàlida.
Les organitzacions també poden utilitzar determinades mesures preventives com ara xifrar dades sensibles, escanejar tots els fitxers entrants per detectar virus i troians, xifrar els correus electrònics de sortida que continguin informació sensible i restringir els programes d’intercanvi de fitxers sortints (si escau). A més, les empreses haurien d’utilitzar un enfocament de “defensa en profunditat” mitjançant la implementació de capes de seguretat de xarxa xifrades addicionals, com ara tallafocs, sistemes de detecció d’intrusions (IDS), protecció antivirus i gestió de pedaços.
Finalment, les inversions en sistemes de còpia de seguretat són crucials per minimitzar el temps d’inactivitat operacional en cas d’un atac maliciós o d’una activitat criminal amb èxit: disposar d’un sistema de còpia de seguretat fora del lloc disponible permet a una organització recuperar-se ràpidament d’un incident de seguretat greu amb una pèrdua de dades mínima. A més, les entitats del sector privat també serien prudents que consideressin la creació d’assegurances cibernètiques com a part del seu programa global de seguretat digital; Els paquets complets subministrats per les asseguradores comercials cobriran la majoria dels costos associats a les lleis de notificació d’incompliments i qualsevol assumpte legal que pugui sorgir de ser víctima d’aquesta manera.
“