2 sur 5 violations de données du secteur financier dues à une erreur humaine

Deux nouvelles violations des données dans le secteur des services financiers sont imputables à une erreur humaine, a conclu un nouveau rapport de l'OAIC.

Le Commissariat australien à l'information (OAIC) ​​a publié son rapport Rapport de synthèse sur 12 mois du rapport sur les violations de données à déclaration obligatoire cette semaine, qui a montré que le secteur financier était le deuxième secteur le plus exposé aux violations de données, après la santé.

Sur les 1 132 notifications de violation de données enregistrées entre le 1er avril 2018 et le 31 mars 2019 – ce qui représente les 12 premiers mois du système de notification obligatoire des violations de données (NDB) pour les entreprises entrant en vigueur -, 138 ont été signalées par des sociétés de services financiers.

Cinquante-sept (41%) de ces violations étaient imputables à une erreur humaine, telle que l'envoi d'informations personnelles au mauvais destinataire.

Dans le même temps, 77 (56%) étaient imputables à des attaques malveillantes ou criminelles, tandis que seulement 4 (3%) des violations étaient imputables à des défaillances du système.

«La présence constante des secteurs de la santé et des finances au sommet du classement tout au long de l’année reflète probablement l’ampleur des fonds de données, le volume des activités de traitement et / ou la sensibilité des informations personnelles détenues par ces secteurs, ainsi que ces secteurs» préparation accrue pour signaler les violations de données », indique le rapport de l'OAIC.

«Les deux secteurs sont également soumis à des obligations de longue date en matière de protection des informations (y compris des obligations de confidentialité et des cadres réglementaires stricts) qui ont probablement contribué à leur maturité relative et à leur aptitude à respecter les obligations découlant du système NDB.»

En raison de la menace croissante de cyberattaques, l'Autorité australienne de réglementation prudentielle (APRA) a créé une norme prudentielle intersectorielle, la norme CPS 234, axée sur la gestion de la sécurité de l'information dans les entités réglementées.

Entrant en vigueur le 1er juillet 2019, la norme Infosec impose aux institutions de dépôt agréées et aux autres entités réglementées:

  • «Définir clairement» les rôles et les responsabilités liés à la sécurité de l'information
  • "Maintenir une capacité de sécurité de l'information à la mesure de la taille et de l'ampleur des menaces pesant sur leurs actifs informationnels"
  • mettre en place des contrôles et tester régulièrement leur efficacité pour protéger les actifs (y compris ceux gérés par des sociétés liées et des tiers) des nouvelles menaces
  • mettre en place des «mécanismes robustes» pour détecter et remédier rapidement aux atteintes à la sécurité des informations
  • informer APRA des incidents de sécurité des informations (qui ont un impact matériel ou pourraient avoir un impact sur l'entité ou les intérêts des déposants, des preneurs d'assurance, des bénéficiaires ou d'autres clients) dans les 72 heures suivant leur connaissance

La norme stipule également que les conseils d'administration sont «ultimement responsables de veiller à ce que l'entité maintienne la sécurité de ses informations».

L’APRA a également mis à jour son Guide de pratique prudentielle CPG 234, Gestion de l’information et des technologies de l’information, afin d’aider les entités à satisfaire à leurs exigences.

Une autre enquête menée par Roy Morgan à la demande de Deloitte auprès de 1 000 consommateurs a révélé que la confiance des consommateurs dans les pratiques des institutions financières en matière de protection de la vie privée avait chuté au cours des trois dernières années.

Selon le Privacy Index 2019 de Deloitte, le secteur financier est passé de la première place en 2016 et 2017, et de la deuxième place en 2018 à la neuvième en 2019.

«Les services financiers ont enregistré la perte de confiance la plus grande en matière de confidentialité, mais restent en territoire positif, ce qui signifie que davantage de consommateurs ont confiance dans les informations personnelles des marques de services financiers», indique le rapport.

Le secteur des technologies de l'information était considéré comme le plus fiable en matière de confidentialité, suivi de l'immobilier, des voyages et des transports, de l'énergie et des services publics.

En revanche, le rapport a classé le secteur financier comme l’industrie la plus performante au regard des critères de l’étude, 94% des applications financières fournissant une politique de confidentialité.

(Connexe: Les recherches de Deloitte brossent un sombre tableau de la confiance dans les banques)

2 sur 5 violations de données du secteur financier dues à une erreur humaine

Les données

hypothèque

Tas Bindi

Tas Bindi

Tas Bindi est l'éditeur de fonctionnalités sur les titres hypothécaires et écrit sur le secteur hypothécaire, la macroéconomie, la technologie financière, la réglementation financière et les tendances du marché.

Avant de rejoindre Momentum Media, Tas avait écrit pour des titres commerciaux et technologiques tels que ZDNet, TechRepublic, Startup Daily et Dynamic Business.

Vous pouvez envoyer un courriel à Tas sur: Cette adresse e-mail est protégée du spam. Vous devez activer le JavaScript pour la visualiser.

Laisser un commentaire