Η βιομηχανία της ψυχαγωγίας είναι παντελώς απροστάτευτη στο hacking

Η βιομηχανία της ψυχαγωγίας είναι παντελώς απροστάτευτη στο hacking και δυστυχώς αυτή η εκτίμηση επιβεβαιώνεται μέρα με τη μέρα.

Δεδομένου του όγκου και της έκτασης των προσωπικών και χρηματοοικονομικών πληροφοριών που συλλέγονται από τους φορείς εκμετάλλευσης , ο χορός της αναψυχής και της ψυχαγωγίας στο διαδίκτυο δεν είναι απλά ένας μαλακός στόχος, αλλά ένας ιδιαίτερα ευάλωτος.

Σπάνια περνάει μια εβδομάδα χωρίς να ακουστεί μία ιστορία νέα ιστορία παραβίασης της ασφάλειας των δεδομένων στον Τύπο. Η συνειδητοποίηση έχει σίγουρα αυξηθεί υπό το πρίσμα των πρόσφατων γεγονότων, συγκεκριμένα από την παγκόσμια επίθεση ransomware της WannaCry που παραμόρφωσε τμήματα του NHS και την ειδική επίθεση της PayAsUGym τον Δεκέμβριο του 2016.

Δυστυχώς, η αυξημένη επίγνωση της ασφάλειας των δεδομένων δεν έχει μέχρι στιγμής εξομοιωθεί με δράση. Πράγματι, υπάρχει η συνεχής απειλή ότι η άγνοια των βασικών αρχών και υποχρεώσεων για την ασφάλεια των πληροφοριών θέτει τον κλάδο της αναψυχής σε σημαντικό κίνδυνο.

Χωρίς επαρκείς προφυλάξεις για την ελαχιστοποίηση του κινδύνου χακαρίσματος των δεδομένων, οι διαχειριστές των ιστοσελίδων αφήνουν τους εαυτούς τους εκτεθειμένους σε σοβαρές απειλές οι οποίες θα μπορούσαν να ξεπεράσουν τα ρυθμιστικά πρόστιμα από τις δημόσιες αρχές για ελλιπής επίβλεψη και προφανώς τη ζημιά που θα υποστούν από την κακή φήμη που συνδέεται με την άγνοια προστασίας των προσωπικών στοιχείων των πελατών.

Ο Paul Simpson, Διευθύνων Σύμβουλος της Legend Club Management Systems, εξηγεί γιατί τώρα είναι επιτακτική ανάγκη οι επιχειρήσεις ψυχαγωγίας να αναλάβουν δράση για τη χρήση και την προστασία των δεδομένων ως κορυφαία επιχειρηματική προτεραιότητα.

Οι ιστοσελίδες της βιομηχανίας ψυχαγωγίας είναι συνδεδεμένες με εγγενή ευπάθεια των δεδομένων.

Οι πληροφορίες που κατέχει ένας οργανισμός είναι αναμφισβήτητα το σημαντικότερο πλεονέκτημα του. Στη βιομηχανία αναψυχής, το σύνολο των προσωπικών δεδομένων που συλλέγονται συστηματικά έχει αυξηθεί σε μέγεθος και οι φορείς εκμετάλλευσης αναψυχής είναι θεματοφύλακες ενός όγκου λεπτομερών πληροφοριών για τα μέλη – τόσο νέους όσο και για παλιούς χρήστες.

Με την αυξανόμενη αναγνώριση ότι τα δεδομένα είναι το σημερινό νόμισμα, οι επιχειρήσεις του διασκεδαστικού τομέα είναι όλο και περισσότερο ευπόρθητος σε μια σειρά απειλών για την ασφάλεια των δεδομένων, από τυχαία κακή περιπέτεια έως οικονομική απάτη και άλλες εγκληματικές προθέσεις.

Οι παραβιάσεις δεδομένων μπορούν να εμφανιστούν σε πολλές μορφές και περιλαμβάνουν κλοπή κωδικών πρόσβασης, επιθέσεις μέσω κακόβουλου λογισμικού, ευπάθειες εφαρμογής backdoor, απειλές εσωτερικών χρηστών, υπερβάσεις δικαιωμάτων, φυσικές δυσλειτουργίες και το μεγαλύτερό πρόβλημα που ονομάζεται εσωτερικά σφάλματα του συστήματος.

Οι κοινές παραβιάσεις των σφαλμάτων του χρήστη περιλαμβάνουν το προφανές – λανθασμένο χειρισμό των δεδομένων της πιστωτικής κάρτας – και τα λιγότερο προφανή, όπως οι πληροφορίες σχετικά με την υγεία και την καταλληλότητα των μελών που φυλάσσονται σε εικονικό χαρτοφυλάκιο σε ξεκλείδωτους πίνακες αρχειοθέτησης. Τα καθημερινά καθήκοντα που αναλαμβάνονται από το προσωπικό της εταιρείας πραγματοποιούνται συχνά χωρίς να υπάρχουν ουσιαστικές διασφαλίσεις δεδομένων.

Ως θέμα, η ασφάλεια των πληροφοριών περιπλέκεται από τις συγκεκριμένες προκλήσεις της βιομηχανίας αναψυχής. Ο γρήγορος κύκλος εργασιών του προσωπικού καθιστά δύσκολη τη συνεπή εφαρμογή εκπαίδευσης για την ασφάλεια των στοιχείων σε όλο το υπαλληλικό προσωπικό που χειρίζεται τα δεδομένα των πελατών. Το αποτέλεσμα είναι η ανεπαρκής ασφάλεια πληροφοριών, η οποία θέτει σε κίνδυνο τόσο την προσωπική ασφάλεια όσο και τη μακροζωία των επιχειρήσεων.

Δυστυχώς, ως μη ρυθμιζόμενη βιομηχανία υπήρξε ιστορικά ελάχιστη ή και καθόλου καθοδήγηση όσον αφορά τη διασφάλιση της πληροφόρησης. Παρόλο που η ισχύουσα νομοθεσία, συμπεριλαμβανομένου του νόμου περί προστασίας των δεδομένων (DPA) και των προτύπων ασφαλείας δεδομένων βιομηχανικής κάρτας πληρωμών (PCI DSS) απαιτούν πολύ συγκεκριμένες διαδικασίες και πολιτικές ασφάλειας , πολλοί στην βιομηχανία ψυχαγωγίας θα πιεστούν σκληρά για να αποδείξουν τη συμμόρφωσή τους με αυτά.

Επιχειρηματικές επιπτώσεις.

Ο αντίκτυπος ενός συστήματος που παραβιάζεται έχει ευρείες συνέπειες και ευθύνες για τις εταιρείες, που κυμαίνονται από βαριές χρηματικές ποινές έως εμπορικά βλαπτικά συστήματα μειωμένου χρόνου, φήμη και ζημιές μάρκας.

Η επικείμενη άφιξη του Γενικού Κανονισμού για την Προστασία των Δεδομένων (GDPR) της ΕΕ τον Μάιο του 2018, ενισχύει περαιτέρω τους όρους ανταγωνισμού. Οι υψηλότερες κυρώσεις και οι ειδικές απαιτήσεις σχετικά με την ασφάλεια των πληροφοριών, καθώς και η ανάγκη ενημέρωσης οποιουδήποτε ατόμου που θίγεται από παραβίαση δεδομένων εντός 72 ωρών, απαιτούν την προσοχή οποιουδήποτε ιδιοκτήτη επιχείρησης ή / και φορέα εκμετάλλευσης.

Το Συμβούλιο Προτύπων Ασφάλειας Βιομηχανίας Καρτών Πληρωμών του Ηνωμένου Βασιλείου (PCI SSC) προειδοποίησε ότι οι επιχειρήσεις του Ηνωμένου Βασιλείου θα μπορούσαν να αντιμετωπίσουν πρόστιμα ύψους 122 δισ. Στερλινών σε κυρώσεις για παραβιάσεις δεδομένων όταν η GDPR θα τεθεί σε ισχύ το 2018.

Έχει επίσης δηλώσει ότι τα ρυθμιστικά πρόστιμα θα υποβαθμιστούν από τη ζημιά στη φήμη λόγω παραβίασης των δεδομένων. Όταν θα κακό – χαρακτηριστεί το brand name είναι αναμενόμενες οι διαταραχές των επιχειρήσεων και η απώλεια εσόδων που συνδέονται άμεσα με αυτό το θέμα.

Επιπλέον, εάν οι πελάτες χάσουν την εμπιστοσύνη τους στην ικανότητα μιας επιχείρησης να διαφυλάσσει τα προσωπικά του στοιχεία, τότε οι διαδικτυακές πύλες και οι διαδικασίες πληρωμής που έχουν βελτιώσει τόσο αποτελεσματικά τις επιχειρήσεις μας τα τελευταία χρόνια θα τεθούν σε κίνδυνο και σε πλήρη αμφισβήτηση από το ευρύ κοινό.

Δημιουργία ήθους, εμπιστευτικότητα, διαθεσιμότητα και ακεραιότητα.

Είναι σαφές: η ασφάλεια των πληροφοριών δεν μπορεί πλέον να είναι ένα ζήτημα περιφερειακό στις βασικές επιχειρηματικές λειτουργίες. Είναι πλέον μια ζωτική νομική απαίτηση που υιοθετούν οι εταιρείες ως μέρος των καθημερινών λειτουργιών. Επιπλέον, οι βέλτιστες πρακτικές ασφάλειας δεν αφορούν την αντίδραση σε εξωτερικά γεγονότα.

Δεν είναι μια μοναδική διαδικασία, ούτε μια ξαφνική απόφαση για ενημέρωση των τρωτών σημείων προστασίας από ιούς ή patch. Αντίθετα, η ασφάλεια απαιτεί μια προδραστική νοοτροπία και ένα ήθος ασφάλειας σε όλα τα επίπεδα. Απαιτεί συνεχή προσοχή και πρέπει να δοθεί έμφαση στην εξασφάλιση πληροφοριών – όχι μόνο σε συστήματα τεχνολογίας.

Προκειμένου να διαφυλαχθούν πολύτιμες πληροφορίες, οι οργανώσεις πρέπει πρώτα να σκεφτούν τα πληροφοριακά τους στοιχεία. Ποιες πληροφορίες διατηρεί η επιχείρηση; Που βρίσκονται; Είναι ενημερωμένο το σύστημα; Είναι ακόμα απαραίτητο; Είναι ψηφιακό – ή οι χαρτογραφικές εγγραφές εξακολουθούν να χρησιμοποιούνται; Οι εργαζόμενοι έχουν πρόσβαση στις πληροφορίες μέσω των δικών τους συσκευών; Με την εξέταση κάθε πληροφορίας σύμφωνα με τις τρεις κατευθυντήριες αρχές της ασφάλειας – εμπιστευτικότητα, διαθεσιμότητα και ακεραιότητα – οι οργανώσεις μπορούν να αρχίσουν να καταλαβαίνουν πώς να προστατεύουν τα στοιχεία που φυλάσσουν στον κεντρικό υπολογιστή.

Η εμπιστευτικότητα είναι διασφάλιση του απορρήτου των δεδομένων, που επιτυγχάνεται εξασφαλίζοντας ότι τα δεδομένα έχουν πρόσβαση μόνο από εξουσιοδοτημένα άτομα – αυτό απαιτεί εξαιρετικούς ελέγχους πρόσβασης για τα συστήματα πληροφοριών και εξασφαλίζοντας καλές εσωτερικές διαδικασίες για τη χρήση τεκμηρίωσης. Η διαθεσιμότητα απαιτεί τα δεδομένα να είναι διαθέσιμα όταν χρειάζεται – για παράδειγμα, μια επίθεση ransomware το αρνείται αυτό. Η ακεραιότητα αφορά στη διασφάλιση της ακρίβειας και της ενημέρωσης των δεδομένων.

Υπάρχουν δύο συγκεκριμένοι τομείς του GDPR, όπου θα πρέπει να δοθεί έμφαση από τους φορείς εκμετάλλευσης του ελεύθερου χρόνου. Ένα από αυτά είναι η «συγκατάθεση», η οποία θέτει ισχυρά κριτήρια για τη θετική λήψη άδειας από το άτομο για την επεξεργασία προσωπικών δεδομένων.

Το δεύτερο είναι η διατήρηση δεδομένων και το δικαίωμα του ατόμου να ξεχαστεί. Αυτοί οι δύο τομείς θα χρειαστούν προσεκτική αξιολόγηση για να διασφαλιστεί ότι υπάρχει σαφής επιχειρησιακή ανάγκη για τη διεξαγωγή δεδομένων για συγκεκριμένες χρονικές περιόδους και η συγκατάθεσή τους για το σκοπό αυτό. Ορισμένες ανάγκες διατήρησης δεδομένων θα είναι νομοθετικές (όπως φορολογικά αρχεία) και άλλες επιχειρήσεις (όπως η χρήση). Θα πρέπει να αντιμετωπιστεί η τρέχουσα έλλειψη σαφούς πολιτικής διατήρησης μεταξύ πολλών φορέων εκμετάλλευσης.

Συμπέρασμα: Ώρα να αναληφθεί δράση.

Υπό το πρίσμα του σημερινού περιβάλλοντος, κανένας οργανισμός δεν μπορεί να αντέξει να μην ξανασκεφτεί πλήρως την προσέγγισή του στην ασφάλεια των πληροφοριών. Παρά την έλλειψη σαφών κατευθυντήριων γραμμών ασφαλείας στον τομέα της ψυχαγωγίας και της διασκέδασης, η GDPR δίνει ένα σαφές προσανατολισμό στο νομικό και ηθικό καθήκον μας να υιοθετούμε μια προορατική προσέγγιση για την προστασία και διασφάλιση των δεδομένων των πελατών.

Αυτή είναι μια πραγματική ευκαιρία για τις επιχειρήσεις να υιοθετήσουν τον νέο κανονισμό. να επεκτείνουμε την τρέχουσα άποψη για πληροφορίες πέραν εκείνων που κρατούνται ηλεκτρονικά για να συμπεριλάβουμε όλα τα πληροφοριακά στοιχεία της επιχείρησης. και να ενσωματώσει τις βέλτιστες πρακτικές στις καθημερινές μας λειτουργίες που περιλαμβάνουν μια φυσική υποδομή και μια κουλτούρα δεοντολογικής ασφάλειας που θα προστατεύει μακροπρόθεσμα τόσο τα δεδομένα των επιχειρήσεων όσο και των πελατών.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Παρακαλώ εισάγετε το σχόλιο σας!
Παρακαλώ εισάγετε το όνομά σας