Koszt naruszenia bezpieczeństwa witryny WordPress
Opublikowany: 2022-05-25Naruszenie bezpieczeństwa może być kosztowne. Wiele badań i statystyk określa średnią naruszenia bezpieczeństwa w milionach dolarów. Ta liczba nie znaczy jednak wiele bez kontekstu. Rzeczywiście, obliczenie średniego kosztu naruszenia bezpieczeństwa może być skomplikowane. Komplikacje wynikają z faktu, że w grę wchodzi wiele czynników. Czynniki te obejmują okoliczności naruszenia, jego zakres oraz rodzaj danych, które ukradli atakujący.
Administratorzy WordPressa i właściciele witryn mogą czuć się skłonni do bagatelizowania ryzyka związanego z naruszeniem bezpieczeństwa. W końcu jest tylko jedna witryna do ochrony, a to jest dość łatwe z silnym hasłem, prawda?
W rzeczywistości sprawy są nieco bardziej złożone. WordPress nie działa w próżni i musi polegać na innych systemach, aby funkcjonować. Liczba systemów, które mieszczą się w Twoim zakresie, w dużej mierze zależy od Twojego planu hostingowego. Tak czy inaczej, rozsądnie byłoby rozpoznać, że istnieją różne systemy i niosą ze sobą pewne ryzyko, nawet minimalne. W końcu nawet renomowani dostawcy hostingu cierpią z powodu naruszeń.
W tym artykule wymienimy najważniejsze koszty związane z naruszeniem bezpieczeństwa, ze szczególnym uwzględnieniem witryn WordPress i administratorów. Przyjrzymy się również czynnikom, które zazwyczaj wpływają na koszty, aby pomóc Ci zrozumieć, jakie są Twoje ryzyko i poziomy narażenia w przypadku naruszenia bezpieczeństwa.
Uwaga: na wszelki wypadek przeczytaj ten przewodnik, aby sprawdzić, czy Twoja witryna WordPress nie została zhakowana.
Czynniki
Oto niektóre z głównych czynników, które należy wziąć pod uwagę przy szacowaniu kosztów naruszenia bezpieczeństwa. Jak pokaże poniższa sekcja, każdy czynnik może mieć również wiele zmiennych, które mogą znacznie zmieniać rzeczywiste koszty. Tak czy inaczej, stanowią dobry punkt wyjścia.
Jakie dane zostały naruszone?
Pierwszym czynnikiem, który musimy wziąć pod uwagę, jest rodzaj danych, które zostały naruszone. Jest to szczególnie ważne, jeśli dotyczy danych osobowych. Jeśli dane osobowe zostały skradzione, musisz również zastanowić się, czy należy to do pracowników, klientów, czy obu, ponieważ wpłynie to na koszty.
Następną rzeczą, na którą musisz się przyjrzeć, jest rodzaj skradzionych danych osobowych. Na przykład, jeśli masz sklep eCommerce i informacje o karcie kredytowej lub dane dotyczące zdrowia zostały naruszone, spowodowałoby to niebotyczne koszty. Dane te są bardzo osobiste i mogą mieć negatywny wpływ na osoby, których dotyczy naruszenie bezpieczeństwa.
Ile osób zostało dotkniętych?
Liczba osób dotkniętych naruszeniem również wpłynie na koszt. Pewne zobowiązania prawne i dotyczące zgodności pojawiają się również po przekroczeniu progu; jednak różni się to w zależności od jurysdykcji.
Jak doszło do naruszenia?
Zrozumienie, w jaki sposób doszło do naruszenia, jest kolejnym kluczowym czynnikiem, który może przyczynić się do wzrostu kosztów. Pomoże to ustalić, czy naruszenie było spowodowane zaniedbaniem, czy nie. Jeśli zaniedbanie odegrało rolę w naruszeniu, koszty zwykle rosną.
Czy to pierwszy incydent?
Kolejne incydenty mają zwykle wyższą cenę niż pierwsze naruszenia. Dwa główne czynniki generujące koszty to grzywny i koszty reputacji.
Czy to trafi do wiadomości?
Jeśli naruszenie bezpieczeństwa prawdopodobnie pojawi się w wiadomościach, możesz oczekiwać, że koszty wzrosną w zależności od tego, czy trafią do wiadomości regionalnych, lokalnych, krajowych czy międzynarodowych.
Gdzie mieszkasz?
Lokalizacja firmy lub podmiotu zarządzającego stroną internetową również ma bezpośredni wpływ na koszty. Wynika to głównie z wszelkich wymogów i/lub obowiązków prawnych, które w takich przypadkach nakłada prawo w danej jurysdykcji.
Koszty
Teraz, gdy omówiliśmy już te czynniki, możemy przyjrzeć się największym kosztom zwykle związanym z naruszeniem danych.
Prawny
Prawnik, a w niektórych przypadkach trener ds. naruszeń, są niezbędnymi aktorami, którzy pomagają firmom i administratorom WordPressa radzić sobie z często złożonymi konsekwencjami naruszenia danych. Są również pomocne w przypadku grzywien, potencjalnych działań prawnych i wielu innych kosztów związanych z naruszeniem danych.
Kryminalni
Zespoły kryminalistyki pomagają określić dalsze ścieżki. Jeśli masz sklep eCommerce, taki jak WooCommerce, możesz również oczekiwać, że operatorzy kart zwrócą się do wyspecjalizowanego zespołu kryminalistycznego, aby ocenić, co się stało. Koszty często ponosi firma, która doznała naruszenia.
PR i zarządzanie kryzysowe
W zależności od wielkości naruszenia zespół zarządzania kryzysowego oraz osoba lub zespół ds. public relations mogą pomóc w opanowaniu skutków ubocznych. Prawda jest taka, że naruszenie może prowadzić do utraty reputacji i utraty przychodów w przyszłości, dlatego tak ważna jest kontrola.
Powiadomienie o naruszeniu
Powiadomienie o naruszeniu jest wymogiem prawnym w USA. Zasady różnią się w zależności od stanu i zakresu naruszenia.
Obsługa klienta
W wielu przypadkach firmy są zobowiązane do udostępnienia swoim klientom bezpłatnego/bezpłatnego numeru telefonu, pod który mogą zadzwonić, aby uzyskać więcej informacji o naruszeniu. Tutaj musisz zastanowić się, czy masz już zdolność do takich połączeń, czy też musisz ją zlecić na zewnątrz.
Monitorowanie kredytu
W niektórych jurysdykcjach firmy są zobowiązane do zapewnienia klientom, których dane zostały skradzione, usług monitorowania kredytu, zapewniając tym samym, że nie padną ofiarą oszustwa. Mimo to oferowanie takiej usługi zawsze jest dobrą praktyką i może złagodzić szkody dla reputacji poniesione przez naruszenie.
Grzywny
Drobiny mogą mieć różne kształty i rozmiary. Zależą one głównie od jurysdykcji, w której przebywasz, zakresu naruszenia, rodzaju skompromitowanych danych oraz sektora, w którym działasz. Na przykład naruszenia danych w UE mogą podlegać karom RODO, które mogą sięgać nawet 4% przychodów. W USA naruszenia ustawy HIPAA są ścigane przez prokuratora generalnego i OCR. Kary PCI mogą być również nakładane w przypadku kradzieży danych karty kredytowej.
Sprawy sądowe
Około 5% zgłoszonych naruszeń kończy się jakąś formą postępowania sądowego; należy jednak wziąć pod uwagę kilka czynników. Oczywiście prawnicy są tu najlepszym źródłem wskazówek; jednak warto o tym pamiętać.
Lepiej jest zapobiegać niż leczyć
Naruszenie danych pociąga za sobą wiele kosztownych kosztów. Niektóre koszty są natychmiastowe i bezpośrednie; inne są długoterminowe i trudne do oszacowania, takie jak utrata dochodów z powodu utraty reputacji. W wielu przypadkach koszty naruszenia danych mogą być wystarczająco wysokie, aby zniszczyć firmę. Na szczęście istnieje prostsze wyjście.
Należy pamiętać, że infrastruktury IT są często złożone, a naruszenia można zainicjować z dowolnego miejsca – czasami nawet od wewnątrz. W związku z tym wszechstronna polityka bezpieczeństwa WordPress ma kluczowe znaczenie; taki, który obejmuje ocenę i ograniczanie ryzyka, a także plan postępowania w przypadku naruszeń.
Ponadto, chociaż nie jest to srebrna kula, uwierzytelnianie dwuskładnikowe jest bardzo bliskie. Rozważ to. 81% naruszeń jest dokonywanych przy użyciu skradzionych danych uwierzytelniających. MFA zatrzymuje około 99,9% takich ataków, co pomaga wyeliminować duży procent ryzyka za pomocą jednej technologii.
Duże firmy, w tym Google i Microsoft, stoją za 2FA, uznając jego skuteczność w ograniczaniu ryzyka. Jako administrator WordPress lub właściciel witryny możesz również wykorzystać 2FA, aby poprawić swoje bezpieczeństwo dzięki WP 2FA – łatwej w instalacji i zarządzaniu wtyczce 2FA, która jest dostarczana w pakiecie z jednymi z najbardziej zaawansowanych i rozbudowanych funkcji.
Już dziś rozpocznij 14-dniowy okres próbny bez ryzyka.