Pwoteje enfòmasyon pèsonèl konsomatè yo
Konsèy pou biznis yo kenbe done an sekirite epi an sekirite
Mesaj Pwokirè Jeneral Eta New York la
Nan epòk dijital jodi a, anpil enfòmasyon pèsonèl Nouyòkè yo estoke sou Entènèt, epi twò souvan konpayi yo pa pran mezi ki nesesè pou pwoteje yo. Ane pase a, Biwo Pwokirè Jeneral Eta New York (OAG) te resevwa 4,000 notifikasyon sou vyolasyon done, kote yo te enfòme nou ke enfòmasyon pèsonèl konsomatè yo te kapab konpwomèt. Nou te revize chak notifikasyon, nou te louvri plizyè douzèn envestigasyon, epi nou te penalize konpayi yo pou plizyè milyon dola paske yo pa t adopte dispozisyon rezonab pou pwoteje enfòmasyon kliyan yo oswa enfòme kliyan yo byen sou ensidan an.
Biznis yo kapab epi yo dwe fè pi byen pou pwoteje done dijital Nouyòkè yo. Nouyòkè yo pa ta dwe enkyete ke enfòmasyon yo ka fini nan move men pwochen fwa yo fè yon acha sou Entènèt, fè yon vwayaj, enskri pou yon klas, oswa jis navige sou entènèt la. Si òganizasyon yo pran mezi relativman senp pou sekirize sistèm yo, nou ka vire sou tandans vyolasyon done yo.
Gid sa a1 gen entansyon ede konpayi yo ranfòse sekirite done yo epi pwoteje done dijital Nouyòkè yo. Nou konnen ke pifò biznis vle fè sa ki dwat, e nou vle pataje sa nou te aprann nan eksperyans nou mennen ankèt ak pouswiv biznis apre vyolasyon sekirite cyber. Nou vle tou mete konpayi yo sou avi ke yo dwe pran obligasyon sekirite done yo oserye, epi nan yon minimòm, pran mezi rezonab ki dekri nan rapò sa a.
Mwen espere konsèy yo ofri nan rapò sa a ede òganizasyon yo ranfòse sekirite sou Entènèt yo pou kenbe Nouyòkè yo an sekirite. Nan kowòdone ak lidè endistri yo, ekspè yo, defansè konsomatè yo ak regilatè yo, New York ap kontinye angajman li pou yon avni teknolojik ki pi solid, ki pi an sekirite pou chak Nouyòkè.
Sensèman,
Letitia James
Pwokirè Jeneral Eta New York
Rekòmandasyon sekirite done OAG
Dapre lwa New York, biznis yo dwe itilize pwoteksyon rezonab pou pwoteje enfòmasyon pèsonèl Nouyòkè yo. Lè li parèt ke yon biznis pa fè sa, OAG ap mennen ankèt epi, si sa apwopriye, pran aksyon. Rapò sa a mete aksan sou rezilta plizyè nan envestigasyon OAG ki sot pase yo epi li ofri konsèy ki senp ki ka ede biznis yo ranfòse pwogram sekirite done yo epi pi byen pwoteje enfòmasyon konsomatè yo.
Kenbe kontwòl pou otantifikasyon an sekirite
Si biznis ou estoke enfòmasyon kliyan, pwosedi otantifikasyon solid ka ede asire ke sèlman moun ki otorize ka jwenn aksè nan done yo. Politik ak pwosedi konpayi ou a ta dwe:
Sèvi ak yon metòd otantifikasyon an sekirite
Pou anpil sistèm ki pwoteje pa modpas, yon modpas yo vòlè kapab tout sa ki nesesè pou yon cybercriminal jwenn aksè a enfòmasyon konfidansyèl ak sansib. Malerezman, sibè kriminèl yo te devlope plizyè fason pou yo mete men yo sou modpas yo. Kidonk, nan anpil ka, otantifikasyon ki baze sou modpas poukont li se pa yon mekanis ki an sekirite pou otantifye itilizatè yo. Biznis yo ta dwe itilize yon altènatif ki pi an sekirite, tankou otantifikasyon milti-faktè, espesyalman pou kont aksè administratif oswa aleka. Sa ki enpòtan, sa a aplike a kont anplwaye entèn osi byen ke kont kliyan.
De dènye cyberatacks OAG te envestige montre risk ki genyen nan otantifikasyon lè l sèvi avèk modpas pou kont li. An 2022, nou te anonse yon antant ak EyeMed apre atakè yo te jwenn aksè nan yon kont imel antrepriz ki gen done kliyan sansib. EyeMed te echwe pou pou mande otantifikasyon milti-faktè nan login, ki ta ka anpeche tantativ atakè a jwenn aksè nan kont la. Entrizyon an te akòde atakè a aksè nan imèl ak atachman ki date sis ane, ki gen ladan non konsomatè yo, adrès, nimewo Sekirite Sosyal, ak nimewo kont asirans.
Menm jan an tou, an 2022, nou te anonse yon antant ak Carnival Cruise apre yon atakè te gen aksè san otorizasyon nan kont imel anplwaye Carnival. Vyolasyon an te ekspoze enfòmasyon sansib kliyan ak anplwaye yo, tankou nimewo paspò, nimewo lisans chofè, enfòmasyon sou kat peman, enfòmasyon sou sante, ak nimewo sekirite sosyal. Remake byen ke avi konsomatè yo te patikilyèman difisil nan ka sa yo paske biznis yo te manke vizibilite nan done sa yo ki te estoke nan imèl pandan plizyè ane, sa ki lakòz mwa reta.
Mande modpas long ak an sekirite
Difikilte pou kenbe tras de modpas miltip mennen moun yo sèvi ak modpas fasil-a-sonje epi sèvi ak yo ankò ak sou ankò. Petèt san sipriz, modpas ki pi komen an se: modpas. Dezyèm ki pi komen an: 123456. Sonje chak karaktè adisyonèl fè yon modpas pi difisil pou krake. Epi ajoute senbòl ak nimewo fè li pi difisil. Si yon òdinatè bay yo ta ka fann modpas la sis karaktè nan yon segonn, li ta pran plis pase de milyon ane yo fann yon modpas 12 karaktè.2 Vyolasyon Kanaval la gendwa enplike devine modpas otomatik yo rele yon atak fòs brital.
Anplis de sa nan enpoze kondisyon konpleksite modpas, ki ka lakòz itilizatè yo tou senpleman ajoute yon nimewo oswa karaktè espesyal nan fen yon modpas fasil devine (tankou Modpas1 oswa Modpas!), biznis yo ta dwe konsidere konpare modpas itilizatè-chwazi ak baz done modpas vyole. epi entèdi itilizasyon modpas espesifik pou kontèks la, tankou non itilizatè/konpayi an oswa dat nesans la.
Modpas sekirite kont atak
Li enpòtan pou sekirize modpas kont atak. Nan pifò ka sa a mande "hashing," yon pwosesis ki vire modpas yo nan yon seri lèt ak/oswa nimewo pou yo pa ka li oswa itilize yo si yo tonbe nan men yo mal. Biznis yo ta dwe itilize yon metòd hachage ki pa fasil pou tantativ fann modpas. Sa a anjeneral mande pou seleksyon yon algorithm hashing ki apwopriye, ak itilizasyon karaktè o aza adisyonèl, pafwa yo rele "sèl".
Biwo nou an te repete aksyon kont biznis ki echwe pou sekirize modpas kliyan yo. Pa egzanp, OAG te fèk jwenn yon antant ak Wegmans apre yon ankèt te dekouvri ke konpayi an te itilize yon metòd hachaj demode sou kèk modpas kliyan, ki gen ladan yon algorithm hachaj ki ta ka fasilman detounen.
Ankripte enfòmasyon kliyan sansib
Avèk menas cyber ki kontinye ap evolye, okenn pwoteksyon pa ka efikas 100 pousan. Se poutèt sa li enpòtan pou biznis non sèlman defann kont aksè san otorizasyon, men tou, mete kontwòl an plas si defans sa yo echwe. Pou pifò biznis ki okipe enfòmasyon kliyan sansib, kontwòl sa yo ta dwe gen ladan chifreman, yon pwosesis pou dekripte enfòmasyon ki ka sèlman ranvèse lè l sèvi avèk yon kle sekrè, ki rele kle dechifre.
Nan dènye ka CafePress nou an, nou te jwenn ke yon mache sou entènèt popilè te echwe pou an sekirite enfòmasyon achtè ak vandè, ki gen ladan nimewo sekirite sosyal yo ak nimewo idantifikasyon taks ki asosye ak plis pase 180,000 kont vandè, ki te rete nan tèks klè. Yon sibèrkriminèl ki te jwenn aksè nan sistèm konpayi an te kapab vòlè enfòmasyon sa a epi finalman ofri li pou vann sou entènèt nwa a. Si enfòmasyon an te chiffres, li ta pwoteje menm nan men yon cybercriminal.
Asire ke founisè sèvis yo itilize mezi sekirite rezonab
Biznis ki konfye enfòmasyon kliyan bay founisè sèvis yo responsab pou asire founisè sèvis sa yo itilize mezi sekirite apwopriye pou pwoteje enfòmasyon sa yo. Si w pa fè sa, sa ka mete enfòmasyon sou kliyan an risk. An 2022, nou te regle ak T-Mobile apre yon vyolasyon kote yon aktè san otorizasyon te jwenn aksè a enfòmasyon kliyan ki estoke sou rezo vandè li a. Enfòmasyon yo te jwenn yo enkli non, adrès, dat nesans, nimewo Sekirite Sosyal, nimewo idantifikasyon (tankou nimewo lisans chofè ak paspò), ak enfòmasyon ki gen rapò yo itilize nan evalyasyon kredi pwòp T-Mobile.
Nan règleman an ak OAG, T-Mobile te dakò ak dispozisyon detaye jesyon vandè ki fèt pou ranfòse sipèvizyon vandè li alavans. Sa yo enkli antretyen yon envantè kontra vandè T-Mobile, ki gen ladan evalyasyon risk vandè ki baze sou nati ak kalite enfòmasyon ke vandè a resevwa oswa kenbe; enpoze kondisyon sekirite done kontra sou vandè ak sou-machann T-Mobile yo; etablisman evalyasyon vandè ak mekanis siveyans; ak aksyon apwopriye an repons a non-konfòmite vandè, ki gen ladan revokasyon kontra.
Biznis ki konte sou founisè sèvis yo ta dwe pran dispozisyon rezonab pou asire founisè yo aplike mezi sekirite apwopriye, enkli sa ki dekri nan rapò sa a. Nan pifò ka yo, sa ta gen ladann dilijans nan chwazi founisè sèvis ki gen pwogram sekirite done ki apwopriye, bati atant sekirite nan kontra ak founisè sèvis yo, ak kontwole travay founisè sèvis yo pou asire konfòmite.
Konnen ki kote ou kenbe enfòmasyon konsomatè yo
Yon biznis pa ka byen pwoteje enfòmasyon kliyan yo si li pa konnen ki kote enfòmasyon sa yo kenbe. Ka Wegmans nou an mete aksan sou danje ki genyen nan pèdi tras done kliyan yo. Nan pwoblèm sa a, yon chèchè sekirite kontakte makèt la apre yo fin dekouvri ke youn nan resipyan depo nwaj konpayi an te configuré pou pèmèt piblik aksè nan sa li yo. Veso a enkli dosye backup baz done ak enfòmasyon plis pase twa milyon kliyan. Lè chèchè sekirite a te kontakte konpayi an, pèsonèl sekirite konpayi an pa t ' okouran ke ansyen fichiers sauvegarde yo menm te sere nan kote sa a.
Konpayi an te kapab evite ensidan sa a tout ansanm si li te kenbe yon envantè de byen ki gen enfòmasyon kliyan. Avèk yon envantè byen, li ta konnen resipyan nwaj sa yo te gen dosye ak enfòmasyon kliyan yo e se poutèt sa li te kapab fè tès sekirite apwopriye, ki ka idantifye move konfigirasyon an pi bonè.
Avèk woulman pèsonèl ak pratik chanje sou tan, li enpòtan pou kenbe yon envantè byen ki swiv kote enfòmasyon pèsonèl yo kenbe pou yo ka an sekirite kòmsadwa. Kenbe sekirite yon envantè byen enpòtan tou.
Pwoteje kont flit done nan aplikasyon entènèt
Enfòmasyon sansib pa ta dwe janm divilge atravè yon sit entènèt oswa yon aplikasyon san otantifikasyon apwopriye. Nan anpil ka, li pa nesesè – oswa apwopriye – divilge enfòmasyon sa yo ditou. Olye de sa, enfòmasyon sansib yo ta dwe tipikman maske, pou egzanp pa voye sèlman kat dènye chif yo nan yon nimewo kat kredi. Biznis yo ta dwe odit aplikasyon entènèt yo pou asire ke done sansib yo transmèt sèlman nan fòm demaske lè sa apwopriye.
Pwoteje kont kliyan ki afekte nan ensidan sekirite done yo
Siberatak ki gen siksè pa sèlman bay atakè yo aksè a enfòmasyon kliyan yo - nan sèten ka, yo ka bay atakè yo aksè nan kont sou entènèt kliyan yo tou. Lè yon atakè te konpwomèt sekirite kont yon kliyan an – pa egzanp, lè yo vòlè kalifikasyon kliyan yo oswa lè yo kraze kont lan – biznis yo ta dwe pran aksyon pou sekirize kont lan epi pwoteje kliyan an kont plis domaj.
Nou fèk pran aksyon kont yon biznis ki pa t pwoteje kont kliyan ki te afekte nan yon ensidan sekirite done. Nan 2018, atakè yo te enfiltre sistèm Zoetop yo epi yo te vòlè yon varyete enfòmasyon kliyan, ki gen ladan kalifikasyon yo konekte nan plizyè dizèn milyon kont kliyan SHEIN. Pou vas majorite nan kont sa yo, sepandan, Zoetop echwe pou pou pran okenn etap pou pwoteje kliyan li yo, pou egzanp pa retabli modpas kont oswa avèti kliyan ke kont yo te an risk. Apre yon ankèt, OAG te jwenn yon antant ki te egzije konpayi an pou li adopte politik pou repons pou ensidan yo amelyore.
Lè kliyan login kalifikasyon oswa kont yo te, oswa yo gen rezon ki fè yo te, konpwomèt, gen plizyè etap yon biznis ta dwe pran. Premyèman, li ta dwe aji byen vit pou bloke aksè atakè yo nan kont yo. Nan pifò ka yo, sa mande imedyatman retabli modpas kont yo ki te gen anpil chans afekte nan atak yo. Nan kèk ka, li ka apwopriye tou pou pran lòt etap, tankou jele kont ki enpòtan yo. Dezyèmman, nan pifò ka yo, biznis la ta dwe byen vit notifye kliyan ki afekte yo. Avi pèmèt kliyan yo pran mezi pou pwoteje tèt yo, pou egzanp lè yo revize kont sou entènèt yo oswa deklarasyon finansye yo pou fwod epi sekirize lòt kont sou entènèt ki itilize menm kalifikasyon yo konpwomèt pou konekte yo.
Efase oswa enfim kont ki pa nesesè yo
Ansyen kont ki pa itilize yo, pafwa yo rele kont òfelen yo, se pi renmen atakè k ap chèche jwenn aksè nan sistèm ki pwoteje yo. Kont sa yo anjeneral pa siveye, epi souvan itilize kalifikasyon ki rete san chanjman pou ane. Nan yon dènye vyolasyon yon machann lekòl rapòte, atakè yo te kapab jwenn aksè nan sistèm konpayi yo lè l sèvi avèk kle aksè yon ansyen anplwaye. Malgre ke anplwaye a te kite konpayi an ane anvan atak la, kont la ak kle aksè a rete san okenn chanjman paske konpayi an pa t elimine kont inaktif oswa li pa t mande kalifikasyon yo dwe mete ajou.
Biznis yo ta dwe gen pwosesis anplas pou efase oswa enfim kont ak aksè a enfòmasyon sansib lè anplwaye yo kite oswa angajman vandè yo fini. Pifò biznis yo ta dwe tou regilyèman odit kont yo pou idantifye sa yo ki te inaktif pou yon peryòd tan pwolonje.
Gad kont atak otomatik yo
Fars kalifikasyon kontinye ap youn nan fòm atak ki pi komen sou kont kliyan yo. Kalite atak sa a anjeneral enplike tantativ repete pou konekte sou kont sou entènèt lè l sèvi avèk non itilizatè ak modpas yo vòlè li nan lòt sèvis sou entènèt. Sibèrkriminèl yo souvan itilize lojisyèl otomatik, oswa "bots," ki kapab fè bisiklèt atravè plizyè santèn tantativ konekte ansanm san yo pa antre manyèl. Yon fwa ke yon sibèrkriminèl konekte avèk siksè nan yon kont, yo ka kapab fè acha lè l sèvi avèk yon kat kredi ki sove nan kont lan, vòlè yon kat kado sove nan kont lan, sèvi ak done kliyan ki sove nan kont lan nan yon atak èskrokri, oswa vann login la. kalifikasyon sou entènèt nwa a.
Biwo nou an te pran aksyon tou sou echèk yon konpayi pou reponn kòmsadwaman nan atak siksè kalifikasyon. Nan yon pwosè ki sot pase kont Dunkin' Donuts, nou te deklare ke plizyè dizèn de milye kont kliyan Dunkin yo te konpwomèt nan yon seri atak sou entènèt. Malgre ke Dunkin' te okouran de atak sa yo, konpayi an pa t pran okenn aksyon pou pwoteje kliyan ki gen kont li te konnen yo te konpwomèt, tankou notifye kliyan ki afekte yo sou vyolasyon an, reset modpas kont yo pou anpeche plis aksè san otorizasyon, oswa jele kat valè ki estoke. anrejistre ak kont kliyan yo.
Pou anpil biznis, atak kalifikasyon yo inevitab. Se poutèt sa biznis ki kenbe kont sou entènèt pou kliyan yo ta dwe gen yon pwogram sekirite done an plas ki gen ladan pwoteksyon efikas pou pwoteje kliyan kont atak kalifikasyon. Nan mwa janvye 2022, nou te pibliye yon Gid Biznis pou Atak Kreditif Stuffing ki te detaye kat domèn kote pwoteksyon yo ta dwe kenbe, ak pwoteksyon espesifik yo te jwenn efikas.
Bay konsomatè yo avi klè ak egzat
Lè enfòmasyon konsomatè yo tonbe nan men atakè yo, avi pèmèt konsomatè yo pran mezi pou pwoteje tèt yo. Se poutèt sa li enpòtan pou biznis yo bay konsomatè yo avi ki alè ak egzat. Lè yon biznis pito bay deklarasyon ki twonpe nan yon efò pou minimize dimansyon oswa gravite yon atak, li ka bay konsomatè yo yon fo sans sekirite. Li kapab tou vyole lwa New York.
Dènyèman, nou te pran aksyon pou rann yon konpayi responsab pou deklarasyon ki twonpe yo te fè apre yon atak. Jan nou note pi wo a, an 2018, atakè yo te enfiltre sistèm Zoetop yo epi yo te vòlè yon varyete enfòmasyon kliyan yo. Zoetop te premye aprann atak la nan men processeur peman li a, ki te ekri ke li te gen enfòmasyon "ki endike ke sistèm [Zoetop] yo te enfiltre ak done kat [kredi] yo vòlè." Nan yon deklarasyon piblik apre vyolasyon an, sepandan, Zoetop te ekri bay manti ke li te gen "pa gen okenn prèv" enfòmasyon kat kredi yo te pran nan sistèm li yo. Zoetop te reprezante tou piblikman, bay manti, ke li te nan pwosesis pou notifye kliyan ki te afekte nan atak la. An reyalite, Zoetop te echwe pou notifye a vas majorite nan kliyan ki gen enfòmasyon login yo te vòlè.
Avi se yon aspè kritik nan repons ensidan an. Biznis yo ta dwe pran prekosyon pou bay yon avi ki fèt alè, epi ki transmèt enfòmasyon materyèl sou atak la aklè ak presizyon.
Konklizyon
New York fyè dèske li se yon lidè nasyonal pou inovasyon ak pwogrè. Nou briye nan jenere nouvo teknoloji enteresan ki ka amelyore lavi, men nou dwe asire ke konsomatè yo ka navige mond dijital la san danje epi ak responsablite. Kòm teknik ak taktik sibèrkriminèl yo kontinye amelyore, se konsa efò nou yo dwe sispann yo. Òganizasyon yo ka pran etap relativman senp pou sekirize sistèm yo, epi redwi oswa elimine vyolasyon done yo. Gid sa a ta dwe ede òganizasyon yo ranfòse pwogram sekirite done yo pou yo ka bay Nouyòkè meyè sekirite done yo nan peyi a.
1 Rapò sa a se pou rezon enfòmasyon sèlman epi li pa ta dwe entèprete kòm yon deklarasyon lalwa, konsèy legal oswa kòm politik eta New York. Yo ka kopye dokiman an, depi (1) siyifikasyon tèks kopye a pa chanje oswa defòme, (2) yo bay Pwokirè Jeneral Eta New York kredi, epi (3) tout kopi yo distribye gratis.
2 Jean-Paul Delahaye, The Mathematics of Hacking, Scientific American, 12 avril 2019, https://www.scientificamerican.com/article/the-mathematics-of-hacking-passwords (dènye aksè 4 mas 2023)