מחקר: 50% מהארגונים לא מדווחים ללקוחות על פגיעה בנתונים אישיים
על פי סייברארק הישראלית, "עם כניסת תקנות הגנת הפרטיות של האיחוד האירופי, ה-GDPR, במאי 2018, ארגונים שלא ינקטו בפעולה לשיפור השקיפות לגבי מתקפות - צפויים להתמודד עם השלכות משמעותיות"
מחצית מהארגונים אינם מדווחים ללקוחותיהם באופן מלא על פגיעה בנתוניהם האישיים, כתוצאה ממתקפת סייבר; כך עולה ממחקר חדש של סייברארק (CyberArk).
על פי חברת האבטחה הישראלית, עם כניסתה לתוקף של רגולציית ההגנה לפרטיות של האיחוד האירופי, ה-GDPR, במאי 2018, ארגונים שלא ינקטו בפעולה לשיפור השקיפות לגבי מתקפות – צפויים להתמודד עם השלכות משמעותיות. פערי אבטחת המידע בארגון עלולים להעמיד בסכנה הן את הארגון – והן את לקוחותיו".
מהמחקר עולה כי חששות מפני ליקויי אבטחה אינם מיתרגמים לנטילת אחריות: 46% מהמשיבים, העוסקים בתחום האבטחה, אמרו שארגוניהם אינם מסוגלים לבלום כל ניסיון פריצה לרשת הארגונית הפנימית. 63% מהמשיבים העסקיים אמרו שהם מוטרדים מהפגיעות של הארגון שלהם למתקפות, כגון פישינג – המתמקדות בצוות הבכיר.
למרות רמת החשש הגבוהה, 49% מהמשיבים העסקיים דיווחו שאין להם מספיק ידע על מדיניות האבטחה ו-52% אינם מבינים מה תפקידם הספציפי בתגובה למתקפה. נתון חמור יותר מעלה כי 33% מאנשי האבטחה טענו גם הם שאין להם מספיק ידע על מדיניות האבטחה.
הפתעה: נהלי אבטחה גרועים עדיין נפוצים מאוד
עוד עולה מהמחקר כי הפערים בפרקטיקות האבטחה המומלצות עדיין קיימים. כך, 42% מהמשיבים העסקיים אמרו שהם שומרים סיסמאות במסמך, במחשב שולחני, או נייד – של החברה. 21% מהם עדיין רושמים סודות, או סיסמאות, במחברות נייר – או מאחסנים אותם בארונות התיוק. לצדם, 31% מאנשי האבטחה אינם משתמשים בפתרון אבטחה לחשבון פריביליגי, לאחסון וניהול סיסמאות פריבילגיות או אדמיניסטרטיביות.
על פי המחקר, מידת האמון באבטחה היא נושא מרכזי בניהול קשרים מסחריים. כך, 44% מהמשיבים העסקיים אמרו ששותפים פוטנציאלים בוחנים את רמת האבטחה של הארגון לפני שהם נכנסים להתקשרות עסקית עמו.
עוד עלה כי 51% מהארגונים מעניקים לספקים צד שלישי כניסה מרחוק לרשת שלהם. מתוכם, 23% אינם עוקבים אחר פעילותם של אותם ספקים מרוחקים.
קרן אלדור, סמנכ"לית בכירה לניהול מוצר בסייברארק. צילום: יח"צ
"למרבה הצער, אין זה נדיר שארגון ירצה להסתיר את היקף הנזק שגרמה לו מתקפת סייבר. כפי שראינו בהתקפות על אובר (Uber), יאהו (Yahoo) ואחרים, הארגונים מסתירים את הפרטים הראשוניים במתכוון – או שההתקפות היו נרחבות יותר ממה שסברו בתחילה", אמרה קרן אלדור, סמנכ"לית בכירה לניהול מוצר בסייברארק. "לסוג התנהלות כזה יהיו השלכות מסיביות השנה – עם כניסתה לתוקף של רגולציית GDPR והקנסות שיוטלו בגין אי-ציות".
היא הוסיפה כי "מה שעוד הפתיע במחקר הוא לגלות שנהלי אבטחה גרועים עדיין נפוצים מאוד. עוד נפוץ גם היעדר העקביות באבטחה בין המחלקות העסקיות למנהלי האבטחה. זאת, למרות המודעות הגבוהה לסיכונים והכותרות המתפרסמות חדשות לבקרים על מתקפות סייבר".
תגובות
(0)