これらはあなたが探しているデータファイルではありません

反乱軍はデススターをハッキングしました：あなたの組織は次ですか？

はるか昔、はるか遠くの銀河で、帝国は1つの重大で致命的な過ちを犯し、それが最終的な崩壊につながりました。 彼らは、反乱軍がスカリフでの防御を破り、最も貴重な武器であるデス・スターの計画を盗むことができるとは決して信じていませんでした。

計画は、何百もの宇宙船によって守られた、侵入できない力の場に完全に囲まれた惑星の、何千もの重武装した軍隊と帝国の歩行者に囲まれた高い塔の金庫室に置かれました。

それでも、意欲と決意を持った個人のグループが防御を乗り越えるのに必要なだけであり、その結果は悲惨なものでした。

帝国の事件計画はどこにありましたか？ デススターの計画が暗号化されなかったのはなぜですか？ なぜ彼らは2要素認証を使用しなかったのですか？

毎日、別のデータ侵害のニュースがあります。 eBay、Equifax、Yahooなどの大規模なデータ侵害もあれば、はるかに小規模なものもあります。 ただし、それらすべてに共通する点が1つあります。それは、ハッカーが大量のデータを取得できるようになることです。

多くの場合、ハッキングはユーザーの個人データに限定されますが、顧客のクレジットカードの詳細も盗まれる場合があります。 侵害に苦しむ多くの企業は、すでにセキュリティ対策を講じています。それらは、サーバー、ファイアウォール、WAF、およびIDSにパッチを適用します。 多くは情報セキュリティポリシーを持っており、侵入テストを実行しますが、ハッカーはとにかく通り抜けます。

違反の計画

壁をどれだけ高く構築しても、十分なスキル、決意、リソースを持った人が侵入できます。国民国家は現在、企業スパイに取り組んでいます。北朝鮮が本当にデータファイルを必要としている場合、それらを締め出します。

多くの場合、人間はどのシステムでも最大の攻撃ベクトルであり、高度なセキュリティシステムは巧妙なソーシャルエンジニアリングによって侵害される可能性があります。 データを安全に保つために、組織はますます高度なテクノロジーを使用してより高い壁を構築するためにますます多くの費用を費やしていますが、何度もこれらが侵害され、データが公開されています。

強力な情報セキュリティに焦点を当てることは非常に重要ですが、帝国が研究するのを忘れたのは、反政府勢力がセキュリティを侵害した場合に、どのように被害を軽減するかでした。 彼らはそれが起こるとは思っていなかったので、違反を計画していませんでした。 これは、この地球上の多くの組織が犯しているのと同じ間違いです。

インシデントプランを作成する

すべての組織は、データ侵害インシデント計画を立てる必要があります。 ことわざがファンに当たったとき、最後に必要なのは、頭のない鶏のように走り回って、必死に状況を管理しようとし、彼らが進むにつれて物事を作り上げることです。

違反が発見された後の瞬間は、関係者全員にとって非常にストレスがかかりますが、最も重要でもあります。 計画がなければ、事態はさらに悪化する可能性があります。

法医学的証拠が破壊され、さらにデータが公開され、誤った情報が広まる可能性があります。 この間、危機を管理するために、誰もが何をする必要があるかを知っておく必要があります。

データを監査する

今後のGDPR規制の大きな特徴の1つは、ヨーロッパの組織がデータの監査を余儀なくされていることです。 多くの組織は、保持しているデータ、データの量、およびデータの場所を知りません。

時間の経過とともに有機的に成長した組織は、それぞれに異なるデータが存在する多くのレガシーシステムを持っている可能性があります。 企業は、実際に必要な個人データを検討し、残りが削除されるか、少なくとも完全に暗号化されるようにする必要があります。 5年前にあなたから購入した人の個人情報を保持することは本当に必要ですか？

相互汚染を回避するためのシステムの分離

チェーンは、その最も弱いリンクと同じくらい強力です。 エントリポイントが弱いため、多くの安全なシステムが侵害されています。 システムが分離されていることを確認することが重要です。 そうすれば、1つが侵害された場合、その侵害はすべてのシステムではなくそのシステムに封じ込められるため、露出が制限されます。

正しく実装されていれば、安全性の高いプラットフォーム上に構築されたeコマースサイトを侵害することは非常に困難になります。 同じ環境内にWordPressブログを置いている場合もあります。 WordPressは、世界で最もハッキングされているWebプラットフォームです。 Securiが発表したデータによると、2016年にハッキングされたWebサイトのサンプルの74％がWordPressを実行していました。

その責任の一部はWordPressユーザーがソフトウェアを最新の状態に保っていないことにありますが、WordPressサイトを運営している場合、この数字はあなたに関係するはずです。 eコマースストアと同じ環境でホストされているWordPressサイトを運営している場合は、懸念が拡大するはずです。

WordPressプラットフォームが侵害された場合、最も価値のあるデータが存在するeコマースWebサイトへのエントリポイントとして使用される可能性があります。 WordPressサイトは、相互汚染がないことを保証するために、eコマースプラットフォームとはまったく異なる分離されたホスティング環境でホストする必要があります。

データ暗号化

データの暗号化は、すぐに表示されるよりも複雑です。 理論的には、eコマースプラットフォームのデータベース内に保持されているすべての個人データを暗号化することは完全に理にかなっています。 キーなしでデータが侵害された場合、それは無意味です。

最大の問題は、通常、アプリケーションがその場でデータを復号化できる必要があることです。つまり、コード内のどこかが鍵となります。 したがって、誰かがアプリケーションとデータを入手した場合、そのキーを使用してデータを復号化できる可能性があります。

もう1つの暗号化の課題は、パフォーマンスです。 アプリケーションがリアルタイムでデータを復号化する必要がある場合、これによりパフォーマンスのオーバーヘッドが大幅に増加する可能性があり、多くの場合、実用的ではありません。 暗号化はデータを保護するための優れた方法ですが、独自の課題があります。

欺瞞に基づくセキュリティ

欺瞞に基づくセキュリティは、ハッカーに偽の脆弱性、または本物を覆い隠す可能性のある偽のデータさえも提示します。

ハッカーは通常、より高度な技術を導入する前に、既知のエクスプロイトなどの最も基本的な脆弱性を探します。 彼らが脆弱性を見つけたら、彼らはそれに集中する可能性があります。 その後、機密性が高く本物のように見えるが実際には偽物であるデータへのアクセスが許可された場合、香りからそれらを捨てる可能性があります。

また、そのアクティビティをより簡単に監視できるため、攻撃者を特定してブロックする可能性が高くなります。 おとりシステムとデータを展開することで、攻撃者にネットワークの侵害に成功したような錯覚を与えることができます。

将来に向けたサイバーセキュリティのベストプラクティス

組織は、ハッカーを締め出すことに専念するべきではありません。これだけでは、すべての人からデータを保護することはできないからです。 意欲的で経験豊富でリソースの豊富なチームは、十分に努力すれば、おそらくほとんどすべてのeコマースプラットフォームをハッキングする可能性があります。

より大きな壁を構築することは、彼らを非常に長い間抑止するだけです。 すべてのデータを可能な限り保護するためには、侵害を防止するだけでなく、侵害を軽減することに重点を置く必要があります。

帝国が誰かにデータの監査と堅牢でテスト済みのインシデント計画の作成を任せていたとしたら、状況はまったく異なったものになる可能性があります。

するかしないか。 試してみません！

不確実な時期に、何が素晴らしいCXを作るのでしょうか？
彼らが議論するように専門家に参加してください。