データ侵害とは
データ侵害(データ流出またはデータ漏洩とも呼ばれます)は、個人、グループ、またはソフトウェアシステムによる機密情報への不正アクセスおよび取得です。 これは、ユーザーまたは所有者の知識がなくても、意図的または意図せずにデータが間違った手に渡った場合に発生するサイバーセキュリティの事故です。
データ侵害の分析
データ侵害は、デジタル製品の増加によるデータの可用性の高まりの結果として、圧倒的な量の情報が企業の手に渡りました。 一部の情報は機密ではありませんが、多くは個人や企業に関する専有情報および機密情報です。 また、クラウドコンピューティングプラットフォームなどの技術主導型ツールに焦点が当てられているため、情報を簡単に入手でき、簡単にアクセスでき、少ないコストで簡単に共有できます。 企業はこのデータを共有および使用して、プロセスを改善し、技術に精通した人口の増加に対応しています。 ただし、一部の悪人は、この情報を違法行為に使用するために、この情報にアクセスしようとします。 世界中の企業内で記録されたデータ侵害の事例の増加は、サイバーセキュリティとデータプライバシーの問題にスポットライトを当て、多くの規制機関が戦うための新しい法律を発行しました。
侵害されたシステムまたはネットワークの所有者とユーザーは、いつ侵害が発生したかをすぐに知るとは限りません。 2016年、Yahooは、推定5億のアカウントが侵害されたと主張したときに、最大のサイバーセキュリティ侵害になる可能性があると発表しました。 さらなる調査の結果、データ侵害は実際には2014年の2年前に発生したことが明らかになりました。
一部のサイバー犯罪者は、盗まれた情報を使用して企業や個人から金銭をいじめたり強要したりしますが、他のサイバー犯罪者は違法資産を取引する地下のウェブ市場で侵害された情報を販売します。 これらのダークウェブで売買される情報の例には、盗まれたクレジットカード情報、ビジネス知的財産、SSN、企業の企業秘密が含まれます。
意図しないデータ侵害
データ侵害は、意図せずまたは意図的に実行される可能性があります。 従業員などの情報の正当な管理者が企業のツールを紛失または不注意に使用すると、意図しないデータ侵害が発生します。 セキュリティで保護されていないWebサイトにアクセスする、職場のラップトップで侵害されたソフトウェアプログラムをダウンロードする、セキュリティで保護されていないWiFiネットワークに接続する、公共の場所でラップトップまたはスマートフォンを紛失するなどの従業員は、会社のデータが侵害されるリスクを負います。 2015年、オンライン投資管理会社であるNutmegは、システム内のコードの欠陥により32アカウントの個人情報(PII)が間違った受信者にメール送信されたため、データが侵害されました。 送信された情報には、名前、住所、投資の詳細が含まれており、アカウント所有者が個人情報の盗難の危険にさらされています。
意図的なデータ侵害
意図的なデータ侵害は、サイバー攻撃者が専有情報や個人情報にアクセスする目的で個人または企業のシステムにハッキングしたときに発生します。 サイバーハッカーはさまざまな方法でシステムに侵入します。 悪意のあるソフトウェアをWebサイトまたは電子メールの添付ファイルに埋め込み、アクセスすると、コンピューターシステムがハッカーによる簡単な入力やデータへのアクセスに対して脆弱になることがあります。 一部のハッカーは、感染したコンピューターであるボットネットを使用して、他のコンピューターのファイルにアクセスします。 ボットネットは、同じマルウェアツールを使用して、加害者が同時に複数のコンピューターにアクセスできるようにします。 ハッカーはサプライチェーン攻撃を利用して情報にアクセスすることもあります。 企業が強固で侵入不可能なセキュリティ対策を実施している場合、ハッカーは脆弱なセキュリティシステムを備えた企業のサプライチェーンネットワークのメンバーを通過する可能性があります。 ハッカーがメンバーのコンピューターシステムに侵入すると、標的の企業のネットワークにもアクセスできるようになります。
ハッカーは、社会保障番号(SSN)などの機密情報を一度に盗んでユーザーの身元を明らかにしたり、個人プロフィールにアクセスしたりする必要はありません。 個人情報盗難のために情報を盗む場合、準識別子のデータセットを持つハッカーは、情報の断片をつなぎ合わせてエンティティの身元を明らかにすることができます。 性別、年齢、配偶者の有無、人種、住所などの準識別子は、さまざまなソースから取得して、同一性のためにつなぎ合わせることができます。 2015年、IRSは300, 000人を超える納税者のデータ侵害が発生したことを確認しました。 サイバー犯罪者は、準識別子を使用して納税者の情報にアクセスし、還付申請書に記入していました。 これにより、IRSはID泥棒に対する5, 000万ドル以上の返金チェックを行いました。