Broj kompromitovanja podataka u SAD-u u 2024. (3.158) smanjen je za 1% u odnosu na 2023. (3.202), 44 događaja daleko od rekordnog broja kompromitacija praćenih u godini, prema Resursnom centru za krađu identiteta.
Broj obavještenja o kršenju podataka raste
Broj obavještenja o povredi podataka izdatih u prošloj godini (1.728.519.397) porastao je za 312% u odnosu na 2023. (419.337.446). Povećanje je prvenstveno uzrokovano šest „mega-breaches” koji su rezultoalo sa najmanje 100 miliona obavještenja o kršenju u svakom događaju. Obavještenja o žrtvama mega-breaches iznosila su više od 1,4 milijarde od više od 1,7 milijardi obavještenja o žrtvama izdatih 2024.
Šest mega-breaches predstavlja samo 0,001% kompromisa u prošloj godini, ali ~85% obavještenja o kršenju podataka.
Ako se izuzme šest mega-breaches, oko 266 miliona drugih obavještenja o žrtvama izdatih prošle godine smanjilo se za 36% u odnosu na 2023.
Prema izvještaju, otprilike 70% obavještenja o kršenju u vezi s cyber napadima nije uključivalo informacije o napadu, u poređenju sa 58% u 2023. U 2019. i prethodnim godinama, ~100% obavještenja o kršenju uključivalo je informacije o vektoru napada.
U 2024., industrija finansijskih usluga , predvođena komercijalnim bankama i osiguranjem, bila je industrija s najviše kršenja, a zatim zdravstvo (najnapadnutija industrija svake godine od 2018. do 2024.), profesionalne usluge, proizvodnja i tehnologija.
„Sa skoro rekordnim brojem kompromisa i preko 1,7 milijardi obaveštenja o žrtvama, često vezanih za neadekvatne cyber prakse, takođe vidimo porast obaveštenja koja pružaju ograničene informacije za žrtve“, rekla je Eva Velasquez , izvršna direktorka Resursa za krađu identiteta Centar.
„Pozitivno je to što je 40% država donijelo sveobuhvatne zakone o privatnosti kako bi bolje zaštitili potrošače“, napomenuo je Velasquez. “Inovativne tehnologije kao što su pristupni ključevi nude obećavajuća rješenja za sprječavanje napada uzrokovanih ukradenim i kompromitovanim lozinkama, što je činilo četiri od šest mega-breaches.”
Bolje cyber prakse i zahtjevi mogli su spriječiti najmanje 196 kompromisa i više od 1,2 milijarde obavještenja žrtava. Napadi koji koriste ukradene jrendicijala na Ticketmaster, Advanced Auto Parts , AT&T , Change Healthcare
i druge organizacije mogli su biti blokirani dodatkom MFA ili pristupnih ključeva.
Zakoni o otrkivanju nedostaju
Državni i savezni zahtjevi za otkrivanje podataka nemaju značajan utjecaj na povrede podataka. Nova pravila o otkrivanju kršenja Komisije za hartije od vrijednosti dovela su do povećanja objava podataka za 60% u 2024. Međutim, manje od 10% obavještenja je uključivalo detalje događaja.
Bilo je manje napada nultog dana i lanca snabdjevanja . Međutim, oni su imali značajnije uticaje. Napadi na lanac snabdjevanja direktno su uticali na 134 organizacije i indirektno na 657 subjekata, što je rezultovalo sa 203 miliona obaveštenja o žrtvama. Najmanje 190 miliona obavještenja se odnosilo na kršenje Change Healthcare.
Javna preduzeća predstavljala su samo 7% (221 kompanija) svih kompromitovanih organizacija. Međutim, izdali su 76 posto obavještenja o žrtvama 2024. godine.
Od 133 cyber napada na kompanije kojima se javno trguje, a koji su rezultovali obavještenjem o kršenju podataka, ukradeni krendicijal je bio vodeći vektor napada. 74% organizacija za kršenje nije navelo vektor napada u obavještenju o kršenju.
Postoje rizici koji dolaze s pretjeranim fokusiranjem na mega-breaches. Oni daju potrošačima iskrivljen osjećaj rizika i doprinose „zamoru od kršenja” i očaju. Fokusiranje na mega-breaches takođe može dovesti do toga da preduzeća – posebno mala – pogrešno pokazujući ograničene resurse za cyber bezbjednost i zaštitu podataka.
Nijedna obavijest o kršenju podataka nije direktno povezivala korištenje AI s kompromisom u 2024. Međutim, jasno je da AI omogućava napade krađe identiteta i prevare identiteta koje dovode do kompromitujućih podataka. Kvaliteta phishing mamaca – e-pošte, lažnih web stranica, tekstova, skripti za reklamiranje, itd. – dramatično se poboljšala od uvođenja generativne AI u mainstream 2022. godine.
Izvor:Help Net Security
