حادثه اوبر | امنیت حرفه ای

Ekaterina Khrustaleva، مدیر عامل پلتفرم هوش مصنوعی می‌گوید نقض داده در اپلیکیشن اوبر باید هشداری برای همه مشاغل باشد. ImmuniWeb.

نقض داده ها، به ویژه یک مورد بزرگ، یک سناریوی کابوس برای شرکت های بزرگ و کسب و کارهای کوچک به طور یکسان است، زیرا می تواند منجر به عواقب جدی شود – از آسیب به شهرت و از دست دادن مشتری گرفته تا شکست های مالی و عواقب قانونی. ترس از عواقب ممکن است برخی از سازمان ها را وادار کند که در مورد نقض صریح صحبت کنند تا از تأثیر منفی ناشی از افشای عمومی یک حادثه امنیتی جلوگیری کنند. اما عدم گزارش نقض داده ها می تواند نه تنها جریمه های چند میلیون دلاری بلکه اتهامات جنایی را نیز به دنبال داشته باشد.

در اوایل ماه اکتبر، جو سالیوان، افسر ارشد امنیتی سابق Uber Technologies، گناهکار شناخته در ایالات متحده به دلیل ممانعت از روند کمیسیون تجارت فدرال (FTC) در حالی که این شرکت به دلیل شکست های قبلی در حفاظت از داده ها و سوء استفاده از یک جنایت مربوط به عدم افشای دو نقض داده در سال های 2014 و 2016 تحت بررسی بود. به نظر می رسد این اولین باری باشد که یک مدیر اجرایی به دلیل نقض داده ها با محاکمه جنایی روبرو می شود. .

این پرونده مربوط به حادثه امنیتی Uber در سال 2016 است که در آن هکرها به سیستم های این شرکت دسترسی پیدا کردند و اطلاعات 57 میلیون مشتری و راننده را به سرقت بردند. مهاجمان سپس مستقیماً با سالیوان تماس گرفتند تا در ازای حذف سوابق دزدیده شده، باج بگیرند. جو سالیوان به جای گزارش تخلف طبق قانون، 100000 دلار بیت کوین به هکرها از طریق برنامه «اشکال پاداش» اوبر پرداخت کرد و سپس از آنها خواست که قراردادهای عدم افشای اطلاعات را امضا کنند.

هنوز تاریخ صدور حکم تعیین نشده است، اما این سابق CSO به دلیل ممانعت از اجرای عدالت با حداکثر پنج سال زندان و برای اتهام ارتکاب جرم تا سه سال زندان مواجه است.

این نقض تنها در نوامبر 2017 و پس از افشای عمومی Uber آشکار شد. در سپتامبر 2018، شرکت سواری 148 میلیون دلار پرداخت کرد تا ادعاهایی مبنی بر پنهان کردن عمدی نقض گسترده داده ها را برطرف کند.

این مورد یادآور این است که پنهان کاری اغلب بدتر از جرم است، با این وجود، بسیاری از متخصصان امنیتی آماده هستند تا یک حادثه امنیتی را پنهان نگه دارند. در واقع، بیش از نیمی (61 درصد) از صاحبان مشاغل به پنهان کردن یک نقض اعتراف کردند و یک سوم (32 درصد) از پاسخ دهندگان گفتند که سازمان آنها در سال گذشته یک نقض شش رقمی را تجربه کرده است.

در همین حال، 78 درصد از مدیران C-suite ادعا می کنند که مایل به پرداخت باج هستند. 56 درصد از پاسخ دهندگان گفتند که مایل به پرداخت بیش از 100000 دلار برای از سرگیری عملیات هستند.

گزارش دیگری نشان می دهد که اکثر سازمان ها نقض داده ها را به عنوان یکی از تهدیدهای اصلی برای تجارت خود درک می کنند. اگرچه بیش از یک سوم (76 درصد) از مدیران سطح C بر این باورند که نقض داده ها اجتناب ناپذیر است، اکثریت (90 درصد) افراد مورد بررسی اعتراف کردند که سازمان آنها حداقل یک منبع را از دست داده است که به آنها کمک می کند در برابر یک حمله سایبری شدید دفاع کنند. با متداول ترین جزء گم شده، فناوری پیشرفته (59 عدد).

عوامل انسانی نیز دخیل هستند که مدیریت ارشد تمایلی به پذیرش مشاوره (46 درصد)، کمبود بودجه (44 درصد) و کمبود منابع انسانی (41 درصد) ندارد.

ترس از دست دادن شغل ممکن است به عدم تمایل به گزارش نقض داده‌ها به مقامات بالاتر پس از وقوع آن کمک کند، زیرا یک سوم مدیران عامل اظهار می‌دارند که قرارداد افراد مسئول نقض داده را فسخ می‌کنند. در همان زمان، بیش از نیمی از کارمندان ادارات اعتراف می کنند که در مورد کار برای شرکتی که اخیراً یک حادثه سایبری را تجربه کرده است، تجدید نظر می کنند و تنها یک سوم می گویند که نگران نباشند.

در سال 2022، میانگین هزینه‌های نقض اطلاعات به 4.35 میلیون دلار رسید که 2.6 درصد نسبت به سال 2021 که 4.24 میلیون دلار بود افزایش داشت. هزینه‌های احتمالی مرتبط با نقض داده‌ها بسیار زیاد است، زیرا این هزینه‌ها نه تنها شامل هزینه‌های اصلاح می‌شود، بلکه جریمه‌های قابل‌توجهی برای عدم رعایت قوانین حفاظت از داده‌ها را نیز شامل می‌شود.

در اینجا فقط چند نمونه آورده شده است: در ژوئیه 2019، آژانس اعتباری Equifax موافقت کرد که 575 میلیون دلار به دلیل نقض اطلاعات در سال 2017 که باعث به خطر افتادن اطلاعات شخصی و مالی نزدیک به 150 میلیون نفر شد، پرداخت کند. در جولای 2022، غول ارتباطات سیار ایالات متحده T-Mobile با پرداخت 350 میلیون دلار به دلیل نقض گسترده داده در سال گذشته که اطلاعات شخصی میلیون‌ها کاربر را فاش کرد، موافقت کرد. در همان ماه، غول سواری چینی Didi Global به دلیل نقض 16 قانون امنیت سایبری در چین، از جمله قانون امنیت شبکه، قانون امنیت داده ها و قانون حفاظت از اطلاعات شخصی، 8.026 میلیارد یوان (1.2 میلیارد دلار) جریمه شد.

همانطور که گفته شد، حذف تمام خطراتی که می تواند منجر به نقض داده شود تقریبا غیرممکن است، اما سازمان ها می توانند با پیروی از بهترین شیوه های امنیت سایبری آنها را به حداقل برسانند. اینها شامل ایجاد استراتژی جلوگیری از نقض داده ها، محدود کردن دسترسی به شبکه سازمان و با ارزش ترین داده ها، اجرای یک برنامه مدیریت ریسک شخص ثالث، انجام آموزش آگاهی از امنیت کارکنان و ممیزی های امنیتی وب سایت و موبایل، به روز نگه داشتن سیستم ها/نرم افزارها است. ، و توسعه یک طرح پاسخ به نقض داده ها. یک طرح واکنش موثر به حادثه می‌تواند به سازمان کمک کند تأثیر نقض را به حداقل برساند، جریمه‌ها و تبلیغات منفی را کاهش دهد و سریع‌تر از یک نقض امنیتی بازیابی کند.