Crédit :Shutterstock
Avez-vous déjà eu des fuites de vos informations personnelles sur Internet ? C'était peut-être quelque chose que vous avez acheté en ligne sur un site Web, seulement pour découvrir que l'entreprise a été piratée des mois plus tard ? Si la réponse est oui", vous voulez probablement savoir si la violation a été signalée et traitée.
Les organisations australiennes ont signalé 242 violations de données entre le 1er avril et le 30 juin, 2018. Il y a eu une augmentation spectaculaire des notifications à partir de février 2018, lorsque huit notifications ont été faites, à juin 2018, lorsque 90 notifications ont été faites.
Il y a des raisons évidentes à cette augmentation. Depuis l'introduction du programme gouvernemental de notification des violations de données (NDB) le 22 février, les organisations sont de plus en plus sensibilisées à la cybersécurité, et les règles et réglementations relatives au traitement des données.
À quoi ressemble une violation de données ?
Pour vous donner un exemple de violation de données, nous pouvons regarder en arrière en 2017, quand presque 50, 000 Australiens ont vu leurs informations sensibles divulguées en ligne.
Dans ce cas, un entrepreneur privé a mal configuré un service de stockage cloud Amazon, rendant par inadvertance les données accessibles au public. Un chercheur polonais en sécurité a découvert les données, qui comprenait des noms, mots de passe, données d'identification, les numéros de téléphone, et les numéros de carte de crédit.
Le programme NDB vise à empêcher que de telles violations ne soient tenues secrètes, et permettre à toutes les parties concernées de connaître l'étendue des dommages.
Combien de personnes ont été touchées ?
Le récent rapport trimestriel du NDB suggère que la plupart des notifications de violation de données proviennent de petites ou moyennes organisations, avec relativement peu de clients touchés. Il y a eu 55 notifications (23 %) de violations dans lesquelles 11 à 100 personnes ont été affectées. Dans 52 cas (21 %), 101-1, 000 personnes ont été touchées. Et il n'y a eu qu'une seule notification qui a touché plus d'un million de personnes.
Cela suggère que les grandes organisations sont généralement plus aptes à prévenir les violations de données.
Quel type de données a été piraté ?
Les types d'informations divulguées sont divisés en numéro de dossier fiscal, information sur la santé, informations d'identité, détails financiers, et coordonnées.
Les résultats montrent que les informations de contact étaient le type de fuite de données le plus courant, avec 216 notifications signalées (89 %). Viennent ensuite les informations financières, avec 102 notifications (42 %); informations d'identité (94 notifications, 39 %); et numéros de dossier fiscal (47 notifications, 19%).
Il est préoccupant que des informations financières aient été divulguées dans 42% des cas. Toute violation de données est problématique, mais la fuite de données financières peut avoir un impact dramatique sur la vie d'une victime si elle se traduit par des achats frauduleux.
Qu'est-ce qui cause ces violations de données ?
Trois raisons principales ont été citées pour les violations de données au cours du dernier trimestre :les attaques malveillantes ou criminelles (59 %), erreur humaine (36%), et défaillance du système (5 %).
La plupart des notifications étaient le résultat direct d'incidents informatiques, y compris l'hameçonnage, logiciels malveillants, ransomware, attaques par force brute, identifiants compromis ou volés, et le piratage. Cela a été suivi par le vol de documents ou de dispositifs de stockage de données, et les violations causées par des employés malhonnêtes et des menaces internes.
L'erreur humaine est souvent considérée comme la principale cause des incidents de cybersécurité. Mais ce n'était que la deuxième cause de violation de données au cours du dernier trimestre.
Dans 22 cas, les données ont été envoyées au mauvais destinataire. Lorsque les organisations ont involontairement divulgué ou publié des informations, cela représentait 12 notifications. Le rapport inclut le fait de cliquer sur un e-mail de phishing en tant qu'erreur humaine, bien que cette action doive vraiment être classée comme le résultat d'une attaque malveillante.
Quels secteurs ont été les plus touchés ?
Le rapport énumère cinq secteurs industriels :les prestataires de services de santé; services financiers et juridiques; services de comptabilité et de gestion; services d'éducation et d'affaires; et services professionnels.
Le secteur de la santé a été le plus touché, avec 49 notifications (20%), suivi de près par le secteur financier avec 36 notifications (15%).
Pourquoi ces secteurs ? L'information financière, comme les cartes de crédit ou les coordonnées bancaires, est une cible clé pour les pirates, car elle peut se traduire rapidement en argent réel.
Le secteur des services de santé est également une cible lucrative pour les pirates informatiques qui ont par le passé réclamé des données confidentielles de patients contre rançon. Par exemple, en 2016, le Hollywood Presbyterian Medical Center a payé 17 $ US, 000 rançon en bitcoin à des pirates qui avaient pris le contrôle de son système informatique.
Le secteur de l'éducation a signalé 19 notifications (8 %). Ce nombre est susceptible d'augmenter à mesure que les pirates informatiques prennent conscience de la valeur de la recherche non publiée et de la propriété intellectuelle.
Un exemple récent de ceci était les tentatives de piratage de l'Université nationale australienne, où il a été signalé que l'ANU avait passé de nombreux mois à repousser les attaques contre ses systèmes qui remontaient à la Chine.
Lutte contre les violations de données
Le système NDB et les rapports sont un moyen important de faire la lumière sur les problèmes de cybersécurité auxquels l'Australie est confrontée, maintenant et dans le futur. Savoir comment se produisent les violations, à quelle fréquence et dans quels secteurs les professionnels de la cybersécurité et les chercheurs pourront s'attaquer de front à ces problèmes.
Certaines brèches peuvent être défendues à l'aide de la technologie, tels que les outils de prévention des ransomwares. Mais les violations qui résultent d'une erreur humaine sont plus difficiles. L'éducation et la formation des employés peuvent les aider à prévenir de simples incidents.
Bringing these numbers down will require a mix of technological solutions and education. Until we get this right, we're likely to see more breaches in the near future, rather than less.
Cet article a été initialement publié sur The Conversation. Lire l'article original.