Üçüncü Taraf Veri İhlalinin Kurumunuza Etkisi Nedir?
Üçüncü taraflar, çoğu kuruluşun işinin gerekli bir parçasıdır. Genellikle faturalandırma, veri depolama veya bazen görev açısından kritik hizmetler gibi önemli hizmetler sağlarlar ve bir şirketin genişletilmiş kuruluşunun vazgeçilmez bir parçası haline gelirler.
Ne yazık ki bu aynı zamanda satıcılar, ortaklar ve tedarikçiler gibi üçüncü tarafları da siber suçlular için bir hedef haline getiriyor. Üçüncü taraf ihlalleri giderek daha yaygın hale geliyor. Ponemon Institute tarafından yürütülen ve Security Boulevard aracılığıyla duyurulan yakın tarihli bir anket, kuruluşların% 53’ünün üçüncü bir tarafın neden olduğu bir veya daha fazla veri ihlali yaşadığını ve bu durumun kendilerine giderilmesinin ortalama 7,5 milyon dolara mal olduğunu ortaya koydu.
Üçüncü taraf veri ihlalinin etkisi nedir? Mali etki iyi belgelenmiş olsa da, üçüncü taraf veri ihlalleri, bir siber saldırının dolar maliyetinden daha fazlasıdır. Aşağıda, üçüncü taraf ihlallerinin işletmenizi etkileyebileceği beş yol bulunmaktadır.
Hangi taraf ihlal edilirse edilsin veri ihlalleri pahalıdır. Ponemon’un Veri İhlalinin Maliyeti raporuna göre, ortalama veri ihlali 3,92 milyon dolardır ve kayıp kayıt başına ortalama maliyet 150 dolardır. Ancak bu sadece ortalama. Bu sayının artmasına neden olabilecek faktörler var. Bu maliyet yükselticilerinden biri, ihlale kimin neden olduğu. Üçüncü bir şahıs söz konusuysa, ihlal daha pahalıya mal olur. Rapora göre, veri ihlaline üçüncü bir taraf neden olursa, maliyet 4,29 milyon dolarlık düzeltilmiş ortalama toplam maliyet için 370.000 dolardan fazla artma eğilimindedir.
ABD’deki büyük sağlık hizmeti sağlayıcıları için üçüncü taraf sağlayıcı olarak hizmet veren bir faturalandırma ajansı olan American Medical Collection Agency (AMCA) 2019’da ihlal edildiğinde milyonlarca hastanın kaydı açığa çıktı. İhlal, AMCA ve müşterilerini HIPAA’yı ihlal etti. İhlal, mağdur olan kuruluş için yıkıcı olsa da – AMCA en büyük müşterilerini kaybetti ve iflas başvurusunda bulundu – aynı zamanda müşterilerini maliyetli sınıf davaları ve devlet soruşturmalarına maruz bıraktı.
Hikayenin ahlaki: Üçüncü tarafınız bir veri ihlaline maruz kalırsa, ihlalin bir sonucu olarak ifşa olan herhangi bir müşteri kayıtlarından sorumlu olabilirsiniz (ve muhtemelen sorumlu tutulacaksınız).
DoppelPaymer, uzay ve savunma endüstrisindeki satıcıları hedef alır ve ödeme yapmayan kuruluşları utandırmak için kendi web sitesinde ifşa edilen özel verileri listeler. Bu, herhangi bir kuruluş için utanç verici ve maliyetli bir sorundur, ancak inovasyonla büyüyen herhangi bir şirketin sonu olabilir.
Siber suçlular verilerinize üçüncü bir taraf aracılığıyla eriştiğinde, bu ihlal onların oyun sonu olmayabilir. Bu basitçe daha büyük bir korsanlık, saldırı ve ihlal kampanyasının açılış sahnesi olabilir veya çalınan bilgiler kimlik avı dolandırıcılıklarında veya diğer dolandırıcılıklarda kullanılmak üzere tasarlanmış olabilir.
Geçtiğimiz Şubat ayında bir üçüncü taraf hizmet sağlayıcısı aracılığıyla ihlal edilen büyük bir şirket örneğini ele alalım. Siber suçlular kişisel bilgilere erişim sağladılar ancak şirketin sistemlerine hiç dokunmadılar. Bu bilgi daha sonraki saldırılarda kullanılabilir.
Maalesef, ihlaller ve ifşa edilen kayıtlar söz konusu olduğunda, satıcınızın hatalı olması veya sizin kendi hatanız olması önemli değildir. Müşterilerin hatırlayacağı şey, bilgilerinin size güvendiği ve daha sonra ifşa veya çalınmış olmasıdır. İhlal yeterince ciddiyse, kuruluşunuzla tekrar iş yapmadan önce iki kez düşünebilirler.
Kendinizi bir üçüncü taraf veri ihlaline karşı korumanın en iyi yolu, zaman ve enerji gerektiren bir süreç olan satıcılarınız söz konusu olduğunda gerekli özeni göstermektir. Üçüncü şahıs ilişkilerini yönetmek için harcanan idari süreyi ve çabayı azaltmak için, sürecin bölümlerini otomatikleştiren bir araç düşünün.