In for the Long Haul: The Long-Term Effects of a Data Breach for SMBs
It’s a common belief that cybercriminals target large businesses for data breaches; however, the truth is that in 2021, small and medium businesses (SMBs) were the biggest and most easily accessible targets for data breaches. Sontiq’s Mid-Year 2021 report concluded that 69% of all data breaches for this year so far have been to small businesses.
WHAT IS A DATA BREACH?
A data breach is when data held by an organization is lost or stolen by an attacker. Often, the data that’s hacked contains sensitive and private information such as Social Security Numbers, date of birth, home addresses, driver’s licenses and even health and medical information. Cybercriminals look for weaknesses in a business’ cybersecurity system and prey on those weaknesses to exploit sensitive information. The blame for data breaches is on the businesses that failed to secure employee and consumer information, and it’s the businesses that are responsible for cleaning up the wreckage.
Examples of common data breaches include:
Malware: Malware can come in many forms, such as viruses, worms, trojans and ransomware and can be installed by someone accessing a company device, an employee opening an email attachment that contains malware, visiting an infected site and by simply not keeping your devices up to date.
Phishing: Usually done via email, hackers create realistic emails that prey on the victim’s emotions in an attempt to trigger a rash response such as clicking on an infected link or attachment.
THE CHALLENGE FOR SMALL AND MEDIUM BUSINESSES
Small and medium businesses face a unique challenge when it comes to data breaches. Because of their size, dedicating the necessary recourses to data security can be seen as an obstacle that sometimes gets ignored in favor of more pressing financial needs. Small businesses can also lack the resources or knowledge needed to develop and implement a cybersecurity policy and response strategy. As a result, SMBs remain open to cyberthreats such as data breaches that could have been avoided by educating employees on cyber risk and how to recognize a potential breach.
In a 2017 study conducted by Small Business Trends, only 14% of small businesses would rate their ability to protect themselves from cyber risks as highly effective. Of the companies studied, 50% reported they’d had data breaches in the past year containing sensitive employee and customer information.
Short-Term Effects of a Data Breach
Once you realize your organization has suffered a data breach, it’s time to start repairing the damage. Initial data breach clean-up usually consists of:
Direct fines and fees
Costly forensic investigations
Future security costs such as credit monitoring for customers effected by the breach
Cost of replacing cards, identity theft repair, and other compliance requirements depending on the severity of the breach
Long-Term Effects of a Data Breach
While the initial cost and brand damage of a data breach can be staggering, those consequences have a ripple effect that can harm your organization for years to come. Some of the lasting scarring of a data breach includes:
Compliance fines, legal fees, insurance premiums
Drop in sales
Loss of consumer trust
Long-lasting brand damage
The biggest long-term consequence of a data breach is the loss of customer trust.
A 2017 study conducted by PwC concluded that 92% of consumers reported that businesses need to be more proactive about cybersecurity and cyber risk.
It only takes one data breach to tarnish a business’ reputation and lose customer trust, but it can take years for a company to repair brand and reputation damage. In fact, it was reported that 85% of consumers won’t do business with a company that has had a recent data breach, with 29% of those surveyed reporting that they would never do business again with a company that had a data breach.
THE COST OF A DATA BREACH
The average cost of a data breach for small and medium businesses is $149,000. However, most SMBs don’t recognize the cost a data breach would incur. In a 2019 study, SMB leaders estimated that a data breach would only cost $10,000, with less than 20% of participants acknowledging that costs could reach over $100,000. In 2020, the average cost per-record for breached data was $150. Even if only 100 records were breached, the cost for those records alone is $15,000 - $5,000 more than the estimated total cost of a data breach by SMB leaders. As a result of both the long and short-term effects of a data breach, Sontiq reports that 60% of small businesses are forced to close within 6 months of a data breach.
RECENT DATA BREACHES
Maine Drilling and Blasting, Suwanee, GA – January 2021
Information accessed includes SSN, driver’s license, date of birth, bank and card information and healthcare information.
Following the attack, Maine Drilling and Blasting secured their network and engaged a third-party forensic computer investigator.
It was ultimately determined that the computer network had been accessed by someone outside of the company.
Data breach affected an estimated 454 individuals.
For more information, click here
Colorado Retina Associates, Denver, CO – January 2021
Information accessed includes names, SSN, financial accounts and medical treatment information.
Once the breach was identified, the company began an investigation and sought help from a third-party computer forensics investigator and secured all employee email accounts.
Unauthorized personnel hacked into two employee work email accounts and used those accounts to send phishing emails to other employees and individuals in their contacts.
Data breach affected 26,609 individuals.
For more information, click here
Rehoboth McKinley Christian Healthcare, Gallup, NM – February 2021
Information accessed includes names, addresses, date of birth, SSN, driver’s license and personal medical history and healthcare information.
A third-party computer forensics firm was hired to help with the investigation.
It was discovered that a sample of the stolen files were uploaded to a data leak site in order to pressure the healthcare provider to pay a ransom. It is not publicly known if a ransom was paid.
Data breach affected 207,195 individuals.
For more information, click here
WHAT TO DO AFTER A DATA BREACH
Identify the breach, how it occurred, and what kind of an attack it was. This is also the time that you should be establishing a containment strategy to ensure that no other sensitive information is accessed by the hacker.
Assemble an incident response team. Ideally, this team and their contact information would have already been circulated to employees so they can get in touch immediately should a breach occur.
Communicate that a breach has occurred. Businesses must communicate that a breach has occurred if personal data is involved within 72 hours of detection. Need help creating a data breach notice? Beauceron Security provides FREE data breach notice templates so you don’t have to.
Secure all systems. Data breaches occur because of vulnerabilities in your systems, so it’s important to make note of those vulnerabilities and actively try to fix them.
Evaluate the data breach and your team’s response to the breach. What could have been done to prevent the breach? How was your team’s response to the breach? This is also a good point to start working on educating and training staff to prevent a future breach.
Knowing exactly what to do, when to do it, and how to do it can be intimidating following a data breach. Get ahead of cyberthreat by composing a disaster recovery plan using one of Beauceron Security’s FREE templates.
HOW TO AVOID A DATA BREACH
The best way to avoid a data breach is to educate employees through cybersecurity awareness training. Businesses that have educated and informed employees can reduce the risk of a data breach. The Beauceron Platform provides employees with the training necessary to help spot a potential cybersecurity risk and care more about cybersecurity. Educated employees are able to make informed decisions that can turn a business’ worst nightmare into an easily avoided disaster.
Training employees on good password hygiene (not reusing the same password or versions of it), using trusted and secured networks and using two-factor authentication all help reduce a business’ cyber risk. With customizable courses, the Beauceron Platform allows you the freedom to identify your organization’s weakness and assign courses based on your company’s needs.
Educated employees are your business’ best defense against data breaches. Click here to start protecting your business today.
Des problèmes à long terme : les effets d’une violation de données pour les PME
C’est une croyance généralement répandue que les cybercriminels ciblent les grandes entreprises pour les violations de données; cependant, la vérité est qu’en 2021, les petites et moyennes entreprises (PME) étaient les cibles les plus importantes et les plus facilement accessibles pour ce type de crime. Le rapport de mi-année 2021 de la firme Sontiq a conclu que 69 % de toutes les violations de données pour cette année jusqu’à présent ont touché de petites entreprises.
QU’EST-CE QU’UNE VIOLATION DE DONNÉES?
On parle de violation de données ou d’atteinte à la protection des données lorsqu’une personne malveillante s’empare de données qu’une organisation perd ou se fait voler. Souvent, les données piratées contiennent des informations sensibles et privées telles que les numéros d’assurance sociale, la date de naissance, les coordonnées du domicile, les numéros de permis de conduire et même des informations médicales et de santé. Les cybercriminels recherchent les faiblesses du système de cybersécurité d’une entreprise et s’attaquent à ces vulnérabilités pour exploiter des informations sensibles. La responsabilité des violations de données incombe aux entreprises qui n’ont pas réussi à sécuriser les informations des employés et des consommateurs. Ce sont aussi les entreprises qui sont responsables d’intervenir après de tels incidents.
Voici des exemples de violations de données courantes :
Logiciels malveillants : les logiciels malveillants, ou maliciels, peuvent se présenter sous de nombreuses formes, telles que des virus, des vers, des chevaux de Troie et des rançongiciels. Ils peuvent être installés par une personne qui accède à un appareil de l’entreprise, par un employé qui ouvre un fichier joint contenant un logiciel malveillant, lors de la visite d’un site infecté ou simplement lorsque vous ne gardez pas vos appareils à jour.
Hameçonnage : une attaque qui utilise généralement le courriel comme vecteur. Les pirates informatiques créent des courriels réalistes qui s’attaquent aux émotions de la victime dans le but de déclencher une réponse irréfléchie tels que cliquer sur un lien ou un fichier joint infecté.
LE DÉFI POUR LES PETITES ET MOYENNES ENTREPRISES
Les petites et moyennes entreprises sont confrontées à un défi unique en matière de violations de données. En raison de leur taille, consacrer les ressources nécessaires à la sécurité des données peut être considéré comme un obstacle, et ces considérations sont parfois ignorées au profit de besoins financiers plus urgents. Les petites entreprises peuvent également ne pas disposer des ressources ou des connaissances nécessaires pour élaborer et mettre en œuvre une politique et une stratégie d’intervention en matière de cybersécurité. Par conséquent, les PME sont exposées aux cybermenaces, comme les atteintes à la protection des données, qui peuvent être évitées en éduquant les employés sur les cyberrisques et sur la façon de reconnaître les atteintes potentielles à la protection des données.
Selon une étude menée en 2017 par Small Business Trends, seulement 14 % des petites entreprises évaluent comme très efficace leur capacité à se protéger contre les cyberrisques. Parmi les entreprises ayant participé à l’étude, 50 % ont déclaré avoir été victimes de violations de données au cours de la dernière année lors d’atteintes affectant des informations sensibles sur des employés et des clients.
EFFETS À COURT TERME D’UNE VIOLATION DE DONNÉES
Une fois que vous réalisez que votre organisation a subi une violation de données, il est temps de commencer à réparer les dégâts. Les étapes initiales de l’intervention après une violation de données sont généralement les suivantes :
Paiement d’amendes et de frais directs
Enquêtes judiciaires coûteuses
Coûts de sécurité futurs tels que la surveillance du crédit pour les clients affectés par la violation
Coût du remplacement des cartes, de la réparation du vol d’identité et d’autres exigences de conformité en fonction de la gravité de l’atteinte.
EFFETS À LONG TERME D’UNE VIOLATION DE DONNÉES
Bien que le coût initial et les dommages causés à l’image de marque de l’entreprise après une violation de données puissent être stupéfiants, ces conséquences ont un effet d’entraînement qui peut nuire à votre organisation pour les années à venir. Parmi les cicatrices durables d’une violation de données, notons :
Amendes de conformité, frais juridiques, primes d’assurance
Baisse des ventes
Perte de confiance des consommateurs
Dommages durables à l’image de marque
La plus grande conséquence à long terme d’une violation de données est la perte de la confiance des clients.
Une étude menée en 2017 par PwC a conclu que 92 % des consommateurs ont déclaré que les entreprises doivent être plus proactives en matière de cybersécurité et de cyberrisque.
Il suffit d’une seule violation de données pour ternir la réputation d’une entreprise et perdre la confiance des clients, et réparer les dommages causés à la réputation d’une entreprise peut prendre plusieurs années. En réalité, il a été rapporté que 85 % des consommateurs ne feront pas affaire avec une entreprise qui a récemment subi une violation de données, et 29 % des personnes sondées ont déclaré qu’elles ne feraient plus jamais affaire avec une entreprise qui a subi une violation de données par le passé.
LE COÛT D’UNE VIOLATION DE DONNÉES
Le coût moyen d’une atteinte à la protection des données pour les petites et moyennes entreprises est de 149 000 $. Cependant, la plupart des PME ne reconnaissent pas le coût qu’entraînerait une violation de données. Dans une étude de 2019, les dirigeants des PME ont estimé qu’une violation de données ne leur coûterait que 10 000 $, et moins de 20 % des participants ont reconnu que les coûts de tels incidents pourraient atteindre plus de 100 000 $. En 2020, le coût moyen par enregistrement pour les données violées était de 150 $. Même si seulement 100 enregistrements sont affectés par une atteinte à la protection des données, le coût de ces quelques enregistrements est de 15 000 $, soit 5 000 $ de plus que le coût total estimé d’une violation de données par les dirigeants de PME. En raison des effets à long terme et à court terme d’une violation de données, Sontiq rapporte que 60 % des petites entreprises sont obligées de fermer dans les 6 mois qui suivent une violation de données.
VIOLATIONS DE DONNÉES RÉCENTES
Maine Drilling and Blasting, Suwanee, Géorgie – janvier 2021
Les informations consultées comprennent le numéro d’assurance sociale, le numéro de permis de conduire, la date de naissance, les informations bancaires et de carte de paiement, ainsi que des informations sur la santé.
Après l’attaque, Maine Drilling and Blasting a sécurisé son réseau et a engagé un enquêteur informatique judiciaire indépendant.
Il a finalement été déterminé qu’une personne externe à l’entreprise avait accédé à son réseau informatique.
La violation de données a touché près de 454 personnes.
Pour plus d’informations, cliquez ici
Colorado Retina Associates, Denver, Colorado – janvier 2021
Les informations consultées comprennent le nom, le numéro d’assurance sociale, les comptes financiers et les informations sur les traitements médicaux de certaines personnes.
Une fois l’atteinte identifiée, l’entreprise a ouvert une enquête et a demandé l’aide d’un enquêteur indépendant en fraude informatique et a sécurisé tous les comptes de messagerie des employés.
Le personnel non autorisé a piraté deux comptes de messagerie professionnels d’employés et a utilisé ces comptes pour envoyer des courriels d’hameçonnage à d’autres employés et à des personnes dans leurs listes de contacts.
La violation de données a touché 26 609 personnes.
Pour plus d’informations, cliquez ici
Rehoboth McKinley Christian Healthcare, Gallup, Nouveau-Mexique – février 2021
Les renseignements consultés comprennent le nom, l’adresse, la date de naissance, le numéro d’assurance sociale, le permis de conduire, les antécédents médicaux personnels et les renseignements sur les soins de santé de certaines personnes.
Une société indépendante de fraude informatique a été embauchée pour participer à l’enquête.
Il a été découvert qu’un échantillon des fichiers volés avait été téléchargé sur un site de fuite de données afin de faire pression sur le fournisseur de soins de santé pour qu’il paie une rançon. Il n’a pas été divulgué publiquement si une rançon a été payée.
La violation de données a touché 207 195 personnes.
Pour plus d’informations, cliquez ici
QUE FAIRE APRÈS UNE VIOLATION DE DONNÉES
Identifier la cause de la violation, comment elle s’est produite et de quel type d’attaque il s’agissait. C’est également le moment où il serait nécessaire d’établir une stratégie de contrôle des dommages pour éviter que toute autre information sensible ne soit accessible au pirate informatique à l’origine de l’attaque.
Constituez une équipe d’intervention en cas d’incident. Idéalement, cette équipe devrait déjà être mise en place et ses coordonnées devraient déjà avoir été distribuées aux employés afin qu’ils puissent communiquer directement avec celle-ci en cas d’atteinte à la protection des données.
Signalez qu’une violation s’est produite. Si des données personnelles sont en jeu, les entreprises doivent signaler qu’une violation s’est produite dans un délai de 72 heures suivant la détection de la violation. Besoin d’aide pour créer un avis de violation de données ? Beauceron Security fournit SANS FRAIS des modèles d’avis de violation de données afin que vous n’ayez pas à le faire.
Sécurisez tous les systèmes. Les violations de données se produisent en raison de vulnérabilités dans vos systèmes, il est donc important de prendre note de ces vulnérabilités et de tenter de les corriger.
Évaluez la violation de données et la réponse de votre équipe à la violation. Qu’est-ce qui aurait pu être fait pour prévenir la violation? Quelle a été la réaction de votre équipe face à la violation? C’est également le bon moment de commencer à travailler sur l’éducation et la formation du personnel afin de prévenir de futures atteintes à la protection des données.
Savoir exactement quoi faire, quand le faire et comment le faire peut être intimidant à la suite d’une violation de données. Prenez les devants et déjouez les cybermenaces en élaborant un plan de reprise des activités à l’aide de l’un des modèles GRATUITS de Beauceron Security.
COMMENT ÉVITER LES VIOLATIONS DE DONNÉES
La meilleure façon d’éviter les violations de données est d’éduquer les employés par le biais d’une formation de sensibilisation à la cybersécurité. Les entreprises qui ont éduqué et informé leurs employés peuvent réduire le risque d’être victime d’une violation de données. La plateforme Beauceron offre aux employés la formation nécessaire pour les aider à repérer les risques d’atteinte à la cybersécurité et à se soucier davantage de la cybersécurité. Les employés bien renseignés sont en mesure de prendre des décisions éclairées qui peuvent transformer le pire cauchemar d’une entreprise en un désastre facilement évité.
Former les employés à une bonne méthode de sélection des mots de passe (ne pas réutiliser le même mot de passe ou plusieurs versions d’un même mot de passe), utiliser des réseaux fiables et sécurisés et utiliser l’authentification à deux facteurs sont toutes des mesures qui contribuent à réduire les cyberrisques auxquels s’expose une entreprise. Avec des cours personnalisables, la plateforme Beauceron vous donne la liberté d’identifier les faiblesses de votre organisation et d’attribuer des cours en fonction des besoins de votre entreprise.
Des employés sensibilisés sont la meilleure défense de votre entreprise contre les violations de données. Cliquez ici pour commencer à protéger votre entreprise dès aujourd’hui.