"Se il mio sito Web viene violato e vengono esposti i dati dei clienti, posso essere ritenuto responsabile?"
Questa è una domanda che la maggior parte dei proprietari di piccole imprese non stanno perdendo il sonno o sono pronti a rispondere. Ma in un'epoca in cui si verificano regolarmente violazioni dei dati, merita una seria considerazione.
Potresti pensare che solo perché gestisci una piccola azienda, la possibilità che il tuo sito web venga compromesso è minima. Questo non è il caso.
Un'indagine condotta dal Poneman Institute, una società di ricerca sulla sicurezza delle informazioni, per conto della compagnia assicurativa Hartford Steam Boiler, ha rilevato che la percentuale di 55 delle piccole imprese ha subito una violazione dei dati e la percentuale di 53 ha riportato più invasioni.
Come viene incastrato un sito web?
Prima di approfondire il problema della responsabilità, è importante affrontare la questione di come i siti web vengono violati in primo luogo.
Tony Perez, co-fondatore e CEO di Sucuri, un fornitore di tecnologie per la sicurezza di siti Web, ha dichiarato in uno scambio di e-mail con Small Business Trends che i siti vengono tipicamente compromessi in uno dei quattro modi seguenti:
Controllo di accesso
Il controllo dell'accesso ha a che fare con il modo in cui effettuiamo l'accesso nei nostri ambienti, indipendentemente dal fatto che si tratti del pannello di amministrazione della nostra piattaforma o dei server e degli host stessi.
Secondo Perez, gli hacker possono capire come accedere al pannello o server di hosting del tuo sito tramite un attacco di forza bruta, un metodo di prova ed errore utilizzato per ottenere informazioni come un nome utente e una password. Gli attacchi di forza bruta utilizzano software automatizzato per generare un gran numero di ipotesi consecutive, per scoprire le informazioni desiderate.
Vulnerabilità del software
Gli hacker sfruttano le vulnerabilità del software usando intelligentemente "Uniform Resource Locator (URL) malformato" o "Intestazioni POST", dice Perez.
Spiega che il modo di pensare alle vulnerabilità è come bug o intasamenti del software nell'armatura del sito web.
"Sin dai primi giorni, i bug sono stati uno stile di vita con qualsiasi codice", dice. "Il codice è costruito dagli umani e, anche se involontariamente, commettiamo errori".
Ambienti gestiti male
"È possibile acquistare un account di hosting del sito Web con una società che ha installato o configurato centinaia di siti su quelli che io chiamo server" zuppa di cucina "," dice Perez. "Ciò è complicato dal fatto che i proprietari dei siti non utilizzano alcun principio di gestione dei siti Web (ad es. Isolamento funzionale, aggiornamenti, backup).
Integrazioni di terze parti
Le integrazioni e i servizi di software di terze parti sono comuni nell'ecosistema di oggi, dice Perez, e sono particolarmente popolari nei sistemi di gestione dei contenuti come WordPress, Joomla e Drupal. Il problema dello sfruttamento di integrazioni e servizi di terze parti è che è al di fuori della capacità di controllo del proprietario del sito web, secondo Perez.
Le reti pubblicitarie presentano ancora un altro problema.
"C'è un grosso problema con il" malvertising ", in cui gli aggressori possono abusare delle reti pubblicitarie che le aziende utilizzano sui loro siti per ruotare e offrire malware agli utenti su base condizionale", dice Perez.
Come posso impedire che il mio sito venga hackerato?
Sfortunatamente, non c'è modo di garantire che il tuo sito non venga mai compromesso. Ci sono dei passi da fare per ridurre il rischio, tuttavia, che includono:
- Incorporare l'autenticazione a due fattori. Secondo il sito Web TechTarget, l'autenticazione a due fattori è un processo di sicurezza in cui l'utente fornisce due metodi di identificazione da categorie separate di credenziali. Gli esempi includono un token fisico, come una carta e qualcosa di memorizzato, come un codice di sicurezza.
- Utilizzare un firewall e un antivirus del sito Web. Questo aiuta a prevenire la vulnerabilità del software. Sucuri offre entrambe le opzioni come parte della sua gamma di prodotti.
- Esegui il backup del contenuto del tuo sito. Molti sistemi di gestione dei contenuti, come WordPress e Joomla, hanno funzionalità di backup integrate. Se il tuo CMS non offre protocolli di backup, probabilmente il tuo provider host del sito web può aiutarti. Aziende come Mozy, Barracuda e Sucuri offrono anche servizi di backup del sito web.
- Registrati con i motori di ricerca. Google e Bing dispongono di strumenti per i webmaster che possono informarti sullo stato del tuo sito.
Qual è la mia 'Cyber ??Liability' se i dati del cliente sono esposti?
Sfortunatamente, non esiste una risposta secca e secca a questa domanda. Alcuni attestano che l'entità che detiene l'informazione è responsabile mentre altri suggeriscono che il cliente è responsabile.
Judith Delaney, fondatrice e capo nuova stratega per la conformità dei media per CMMR Group-TurnsonPoint, una società di conformità dei media digitali, ha detto in un articolo che si occupa delle preoccupazioni dei consumatori in merito alla responsabilità, che se gli hacker accedessero alle informazioni attraverso i sistemi online della vostra azienda, molto probabilmente, si terrebbe responsabile.
Ha anche affermato che tutti, aziende e consumatori, hanno la responsabilità di proteggere le informazioni sensibili.
Perez, soppesando il problema della responsabilità, avverte che le piccole imprese che gestiscono un sito di e-commerce devono rispettare lo standard PCI DSS (Payment Card Industry Data Security Standard).
"Non è una legge, ma è un regolamento che creerà grossi problemi per te se sarai compromesso e scoprirai che è stato il motivo per cui i dati della carta di credito sono stati rubati", dice.
Aggiunge che i consumatori si aspettano e richiedono un'esperienza online sicura quando visitano il tuo sito.
"Si fidano che quando visitano il tuo sito web, come un'azienda che si prende cura di te, stai facendo la tua parte", dice. "Quando non lo sei, e rompi questa fiducia, non solo infrangi la fiducia con il tuo marchio ma con l'esperienza generale degli utenti con Internet. I nostri impatti sono più grandi del nostro piccolo angolo del web. "
Le leggi statali proteggono i consumatori
"Il panorama della sicurezza informatica sta cambiando rapidamente mentre le violazioni dei dati stanno aumentando", ha detto Delaney. "Il Congresso, i regolatori e gli avvocati generali stanno dando un'occhiata a come le aziende ... stanno proteggendo le informazioni dei consumatori da accessi non autorizzati. Le udienze sono state tenute e nuove leggi hanno spinto ".
La California è stato il primo stato a passare una legge sulla violazione dei dati, in 2003, che richiede che i consumatori vengano informati se le loro informazioni di identificazione personale sono compromesse.
Seguendo la guida della California, altri stati hanno promulgato leggi che richiedono alle organizzazioni di notificare le persone quando una violazione della sicurezza mette a rischio le informazioni personali. La National Conference of State Legislatures fornisce un elenco completo di BakerHostetler, uno studio legale.
Oltre agli stati, la legge federale potrebbe richiedere la notifica di particolari tipi di violazioni dei dati.
L'assicurazione sulla responsabilità civile protegge le aziende
La notifica può diventare rapidamente molto costosa, tuttavia, in particolare se si dispone di migliaia di clienti con cui comunicare.
Sfortunatamente, la proprietà commerciale standard e l'assicurazione di responsabilità civile non coprono la perdita di informazioni di identificazione personale. Per risolvere il problema, diverse aziende ora offrono politiche di responsabilità informatica intese a coprire una violazione dei dati in cui le informazioni sui clienti, come la sicurezza sociale oi numeri delle carte di credito, sono esposti o rubati.
Le politiche comprendono una varietà di spese associate a violazioni dei dati, tra cui costi di notifica, monitoraggio del credito, gestione delle crisi, costi per difendere le richieste da parte delle autorità statali, multe, sanzioni e perdite derivanti dal furto di identità e interruzione dell'attività.
Conclusione
Il problema degli attacchi informatici non sparirà ma diventerà più sofisticato nel tempo.
Anche se la questione della responsabilità non è ancora chiara, le aziende possono proteggere se stesse e i propri clienti seguendo le linee guida incluse in questo articolo.
Adottare le misure necessarie per impedire che il tuo sito venga violato e prendere in considerazione l'acquisto di un'assicurazione per la responsabilità informatica per proteggerti in caso affermativo, e i dati dei clienti sono esposti.
Hacker Foto tramite Shutterstock
1
