フランス映画の古典「恐怖の報酬」 — 1977 年にアメリカ人監督ウィリアムによって「ソーサラー」としてリメイク フリードキン — 南アメリカの遠隔地に揮発性ニトログリセリンのペイロードを輸送するタフなチームを描いた緊迫したスリラーでした。途中、洪水で増水した川に糸でぶら下がったロープの橋、曲がりくねった山道を塞ぐ岩、そして「洗濯板」と呼ばれる穴だらけの道路など、危険な場所に遭遇します。
データ セキュリティに対する企業のアプローチとの関連性はすぐには明らかではないかもしれませんが、ネットワーク上またはファイル内に機密の個人情報がある場合は、類似点を引き出すことができます。ニトロをいっぱい積んだトランクを持ってハンドルを握ると運転習慣が変わるのと同じように、所有する情報の機密性を考慮して、会社の慣行を調整する必要があります。
これは、FTC との和解で示された原則の 1 つです。 セリディアン 株式会社。 セリディアン 給与処理やその他の人事サービスを企業顧客に提供します。 1つの製品、 パワーペイは、中小企業が給与計算を自動化するために従業員データ (名前、住所、電子メール アドレス、電話番号、社会保障番号、生年月日、口座振替口座番号など) を収集および保存するために使用できる Web ベースのシステムです。処理。
確かに、 セリディアン 関連するデータの機密性を認識していました。自社の契約によれば、「従業員の健康と給与データを管理する場合、セキュリティは最も重要です。 セリディアン。当社の包括的なセキュリティ プログラムは、ISO 27000 シリーズ規格、業界のベスト プラクティス、連邦、州、地方の規制要件に従って設計されています。」
しかし、FTCの訴訟が主張しているように、 セリディアン は、収集および維持する個人データに合理的かつ適切なセキュリティを提供することができなかった多くの慣行に従事していました。具体的には、FTC は同社を次のように告発しました。
- 個人情報を読みやすいテキストで保存します。
- ビジネス上の必要性なしにネットワーク上に無期限に保存することで不必要なリスクを生み出しました。
- SQL インジェクション攻撃など、一般に知られている、または合理的に予見可能なリスクに対する Web アプリケーションとネットワークの脆弱性を適切に評価していませんでした。
- すぐに利用できる無料または低コストの防御策を実装していませんでした。そして
- 不正アクセスを検出および防止するための合理的な措置を講じなかった。
その結果、ハッカーはこれらの障害を利用して、SQL インジェクション攻撃を仕掛けた、と FTC は述べています。 パワーペイ サイトと Web アプリから 28,000 人近くの従業員の個人データが流出 セリディアンの 中小企業の顧客。場合によっては社会保障番号、銀行口座情報、生年月日も含まれます。事件を解決するには、 セリディアン は、今後 20 年間隔年での独立した第三者によるセキュリティ監査を含む、包括的な情報セキュリティ プログラムを導入することに同意しました。
賢明なマーケティング担当者は、FTC の法執行措置から何を読み取るのでしょうか?
社会的に安全な状態を維持します。 もちろん、企業は自社が保有するすべてのデータを管理したいと考えていますが、一部の情報 (たとえば、社会保障番号) は、保護の観点から優先順位が高くなります。たとえば、ID 窃盗犯がクレジット カード番号を入手した場合、その問題を解決するのは非常に困難です。不正な請求について異議を唱える大量の書類や、アカウントの整理のために何時間も電話をかけなければならないなどです。しかし、問題が社会保障番号である場合、その影響は被害者に一生続く可能性があります。わかりました、多分 SSN 荒れ果てた山道で不安定なニトログリセリンを飲んでいるわけではありませんが、社会保障番号に関係する個人情報盗難によって人生を一変させられた人々にそんなことを言わないでください。
簡単にできる果実を剪定します。 ハッカーは常に私たちの側にいます。したがって、私たちの仕事は、彼らの仕事を可能な限り困難にすることです。ネットワークのセキュリティを強化できる予防措置の多くは、低コストまたは無料ですぐに利用できます。簡単な 1 つのステップ: 新しい脅威に対処するためのパッチについては、ソフトウェア ベンダーに問い合わせてください。カレンダーに定期的な予定を入れて、最新情報を確認してください。さらに、IT スタッフが「自動更新」機能を有効にしている場合、多くのプログラムは緊急のセキュリティ パッチやその他の修正プログラムをインストールします。
確かに より安全です。 国土安全保障省の一部である US-CERT (米国コンピューター緊急準備チーム) は、サイバー攻撃に対する対応サポートと防御を提供し、政府や業界と情報を共有しています。 US-CERT の Reading Room は、あらゆる規模の企業向けに豊富な無料リソースを提供しています。技術系じゃないの? US-CERT は、多忙な経営者向けの非技術カテゴリと IT プロフェッショナル向けの技術データに資料を便利に分類して、あらゆるニーズに対応します。たとえば、同社のサイトでは、SQL インジェクション攻撃やその他の一般的な脅威からネットワークを保護するための段階的なアドバイスを提供しています。
次: データセキュリティに対処するFTC法執行機関の増加
