Schwerwiegende Datenschutzverletzungen bei der Wahlkommission und mehreren britischen Polizeikräften haben gezeigt, dass Organisationen des öffentlichen Sektors nicht immun gegen die Bedrohung durch Cyberkriminelle sind.
Im August die Wahlkommission bestätigt Es wurde Opfer eines „komplexen Cyberangriffs“, der die persönlichen Daten von 40 Millionen britischen Bürgern gefährdete. Der Verstoß, der erstmals im August 2021 auftrat, blieb bis Oktober 2023 unentdeckt und führte dazu, dass Hacker Referenzkopien von Wählerverzeichnissen erbeuteten. Dies bedeutete, dass sie Zugriff auf die Namen und Adressen von Millionen britischen Wählern hatten.
Die Kommission räumte ein, dass „keine ausreichenden Schutzmaßnahmen vorhanden waren, um diesen Cyberangriff zu verhindern“, und das ist jetzt der Fall ersichtlich dass die Regierungsbehörde einen Cyber Essentials-Test zur Verbesserung der Cyber-Abwehr von Organisationen vor dem Angriff nicht bestanden hat. Angesichts der Schwere des Angriffs im August 2021 gibt die Organisation an, mit Arbeiten zur „Verbesserung der Sicherheit, Belastbarkeit und Zuverlässigkeit“ ihrer IT-Systeme begonnen zu haben.
An anderen Stellen im öffentlichen Sektor des Vereinigten Königreichs kam es kürzlich bei mehreren britischen Polizeikräften zu erheblichen Datenschutzverletzungen. Im August die Londoner Metropolitan Police alarmiert Zehntausende seiner Mitarbeiter sind von einem Datenverstoß betroffen, der durch „unbefugten Zugriff auf das IT-System eines Met-Lieferanten“ verursacht wurde.
Der betreffende IT-Anbieter verfügte über Informationen wie Namen, Dienstgrade, Fotos, Sicherheitsstufen und Gehaltsnummern der Polizeibeamten und Mitarbeiter der Met. Das Met sagte jedoch, dass der Hack nicht zur Offenlegung persönlicher Daten wie Namen, Adressen und Finanzinformationen geführt habe. Zu den weiteren britischen Polizeikräften, bei denen es in jüngster Zeit zu Datenschutzverletzungen kam, gehören die Polizei von Greater Manchester und der Police Service of Northern Ireland.
Diese Datenschutzverletzungen haben gezeigt, dass personenbezogene Daten in den Händen von Regierungsbehörden nicht unbedingt sicher sind und dass diese mehr tun müssen, um ihre Cybersicherheitskapazitäten zu verbessern. Aber welche Cybersicherheits-Frameworks und Best Practices können sie implementieren, um sicherzustellen, dass solche Vorfälle nie wieder passieren?
Kritische Lektionen, die es zu lernen gilt
Eine der größten Lehren aus diesen Sicherheitsverletzungen besteht darin, dass selbst hochsichere Datenbanken anfällig für Sicherheitsverletzungen sind und lukrative Ziele für Cyberkriminelle bleiben. Überprüfen und begrenzen Zugriffsrechte Der Zugriff auf Datenbanken mit großen Mengen personenbezogener Daten ist ein ausgezeichneter erster Schritt, aber nicht das Einzige, was Unternehmen in Betracht ziehen sollten.
Da sich die Cyber-Bedrohungslandschaft mit beispielloser Geschwindigkeit weiterentwickelt, müssen Unternehmen Cyberkriminellen immer einen Schritt voraus sein, indem sie die Sicherheitslücken und Hacking-Methoden antizipieren, die sie bei ihren Angriffen ausnutzen können. Der einzige Weg, dies zu erreichen, besteht darin, regelmäßige Cybersicherheitsprüfungen durchzuführen und über die neuesten Cybersicherheitsbedrohungen auf dem Laufenden zu bleiben.
Es ist auch wichtig zu verstehen, dass Datenschutzverletzungen mehr als nur finanzielle Verluste verursachen. Angesichts der entscheidenden Rolle, die die Wahlkommission, die Polizei und andere Regierungsbehörden im öffentlichen Leben spielen, können sie es sich nicht leisten, das Vertrauen der Bürger zu verlieren. Aber leider sind Reputationsschäden und der Verlust des öffentlichen Vertrauens große Risiken Cyber-Angriffe Auswirkungen auf öffentliche Institutionen haben. Darüber hinaus spüren diese Organisationen in der Regel die volle Macht der Regulierungsbehörden, was ihre wesentliche öffentliche Arbeit erheblich untergräbt.
David Sancho, leitender Bedrohungsforscher beim Cybersicherheitsunternehmen Trend Micro, beschrieb Datenverstöße im Wählerverzeichnis und bei der Polizei als „gute Beispiele für Fälle, in denen Organisationen die Sicherheit der Daten, die sie schützen, nicht ernst nehmen“.
Sancho warnte Organisationen davor, die Datensicherheit zu vernachlässigen, „denn Angreifer sind jederzeit zum Angriff bereit“. Er sagte, dass jedes Unternehmen und jede Organisation unabhängig von ihrer Größe „Cyberangriffen ausgesetzt“ sei.
Er fügte hinzu: „Meiner Erfahrung nach räumen einige Sicherheitsausgaben eine niedrigere Priorität ein, mit der Begründung: „Das wird uns nicht passieren, wir sind die Zeit eines Cyber-Angreifers nicht wert.“ Das sollte nicht passieren und alle Unternehmen sollten auf solche Versuche vorbereitet sein.“
Verbesserung der Cybersicherheitsgrundlagen
Ob es sich um finanzielle Verluste, Reputationsschäden oder regulatorische Auswirkungen handelt – viele dieser Risiken können vermieden werden, wenn Unternehmen die Bedrohung durch Cyberkriminalität ernst nehmen. Aber Taten sagen mehr als Worte – Unternehmen sollten nicht nur versprechen, ihre Ziele zu verbessern Internet-Sicherheit Nach einem schwerwiegenden Sicherheitsverstoß in einer öffentlichen Stellungnahme Stellung nehmen, aber konkrete, qualitative Schritte unternehmen, um ihre Cybersicherheitsgrundlagen zu stärken.
Da menschliches Versagen bei Datenschutzverletzungen eine so große Rolle spielt, müssen Unternehmen mehr tun, um ihre Mitarbeiter darüber zu schulen, wie sie Cybersicherheitsrisiken erkennen und mindern können. Da die Cyber-Risikolandschaft immer komplexer wird, reicht eine einzelne PowerPoint-Präsentation zum Ankreuzen eines Kästchens nicht aus. Sowohl öffentliche als auch private Organisationen müssen regelmäßig Maßnahmen ergreifen Schulung und Sensibilisierung des Personals Kampagnen. Organisationen wie das National Business Crime Center bieten an Kostenlose Cybersicherheitsschulung für Mitarbeiter, damit Cyber-Bewusstsein nicht die Unternehmensbudgets belasten muss.
Ein weiterer grundlegender, aber wesentlicher Schritt zur Verbesserung der Cybersicherheitsgrundlagen einer Organisation ist die regelmäßige Aktualisierung von Software und Systemen, um Sicherheitslücken zu schließen. Durch die Migration von veralteten Betriebssystemen wie Windows 7 und 8 werden auch Sicherheitslücken in der Software verhindert. Umsetzung Multi-Faktor-Authentifizierung verringert auch die Wahrscheinlichkeit, dass sich böswillige Parteien unbefugten Zugriff auf die IT-Systeme einer Organisation verschaffen.
Durch die Implementierung eines international anerkannten Branchenrahmens wie dem Cybersecurity Framework des National Institute of Standards oder ISO 27001 wird die Cyber-Resilienz der Organisation erhöht. Diese Frameworks helfen Organisationen in Bereichen wie Vermögensverwaltung, Zugriffskontrollen, Schwachstellenmanagement, Reaktion auf Vorfälle, Sicherheit Dritter und kontinuierliche Verbesserung.
Luke Dash, CEO von ISMS.online, sagte, solche Frameworks würden Organisationen dabei helfen, „die Widerstandsfähigkeit gegen Angriffe erheblich zu verbessern“. Angesichts der Datenschutzverletzungen im Wählerverzeichnis und bei der Polizei fordert er die Regierungen dringend dazu auf, die Implementierung von Cybersicherheitsrahmen in Regierungsbehörden – insbesondere wenn diese über sensible Daten verfügen – zusammen mit Audits und Rahmenzertifizierungen verbindlich vorzuschreiben.
Integration dieser Erkenntnisse und Frameworks
Die Implementierung eines Cyber-Sicherheitsrahmens und die Verbesserung der Cyber-Resilienz werden für viele Organisationen völlig neu sein. Was können sie also tun, um diese Ziele erfolgreich zu erreichen?
Dash sagt, dass Unternehmen Cybersicherheit nicht als „nachträglichen Gedanken“ betrachten dürfen. Der Schlüssel zu Cyber-Resilienz ist „engagierter Fokus, Ressourcen und ein kontinuierliches Engagement“. Er fuhr fort: „Die Implementierung eines robusten Rahmens kann dazu beitragen, die Abwehrkräfte zu stärken, bevor es zu einem Verstoß kommt.“ Die Öffentlichkeit verdient erstklassige Sicherheit für ihre Daten, und diese Frameworks bieten eine Blaupause. Es muss noch viel getan werden, aber der Weg nach vorne ist klar.“
Laut Sancho wird die Verbesserung der Sichtbarkeit der Netzwerke einer Organisation auch dazu beitragen, sensible Daten zu schützen. Er empfahl: „Das erreichen Sie mit Software, die das Netzwerkverhalten analysiert und unterschiedliche Anomalien als konzertierte Hacking-Aktion kennzeichnen kann.“ Durch diese verbesserte Sicht kann ein Verteidiger erkennen, dass er angegriffen wird, bevor der Schaden entsteht.“
Unabhängig von Branche oder Größe müssen alle Unternehmen, die vertrauliche Informationen verarbeiten und speichern, auch Maßnahmen ergreifen, um diese zu verstehen Datenschutzgesetze wie die Datenschutz-Grundverordnung.
Kevin Modiri, ein Anwalt bei der Anwaltskanzlei Nelsons, sagte: „Die Datenschutz-Grundverordnung (DSGVO) trat 2018 in Kraft und regelt, wie wir personenbezogene Daten, einschließlich aller Informationen über eine identifizierbare, lebende Person, nutzen, verarbeiten und speichern dürfen.“ Die Gesetzgebung gilt für alle Organisationen, einschließlich derjenigen, die Waren und Dienstleistungen liefern.“
Key Take Away
Die Datenschutzverletzungen im Wählerverzeichnis und bei der Polizei waren bedauerliche Vorfälle, von denen Millionen von Menschen betroffen waren. Es ist jedoch klar, dass sie für Organisationen, die mit sensiblen Informationen umgehen, wertvolle Lehren gezogen haben.
Die vielleicht größte Lektion besteht darin, dass alle Unternehmen ihre Cybersicherheitsfähigkeiten bewerten und fortlaufend Maßnahmen zum Schutz sensibler Daten ergreifen müssen. Darauf zu warten, dass es zu Verstößen kommt, ist keine Option, da so viel auf dem Spiel steht, einschließlich finanzieller Verluste, Reputationsschäden und behördlicher Maßnahmen.
Wirksame Maßnahmen zur Verhinderung von Datenlecks umfassen die Implementierung internationaler Cybersicherheitsrahmen und die Bereitstellung regelmäßiger, konsistenter Cybersicherheitsschulungen für alle Mitarbeiter innerhalb der Organisation.
