未來企業(yè)將面臨的數(shù)據(jù)安全風(fēng)險 | 數(shù)據(jù)防泄密如今,數(shù)據(jù)安全已成為公司�����、消費者和監(jiān)管機構(gòu)的頭等大事。
近年來數(shù)據(jù)泄露和隱私事故越來越普遍��,而且代價高昂��。
Risk Based Security的一項研究發(fā)現(xiàn)��,數(shù)據(jù)泄露比去年同期上升了54%以上����。
同時�����,IBM的年度數(shù)據(jù)泄露成本報告發(fā)現(xiàn)��,數(shù)據(jù)泄露的平均總成本接近400萬美元�����。
綜上所述����,很明顯����,隨著以隱私和安全成為數(shù)字時代的新標(biāo)志����,數(shù)據(jù)安全和隱私將是2020年企業(yè)面臨的頭等大事。
為了幫助企業(yè)為日益增長的確定性風(fēng)險做好準(zhǔn)備�,以下我們總結(jié)了企業(yè)2020年可能面臨的20種數(shù)據(jù)安全風(fēng)險。
1. 意外數(shù)據(jù)泄露通常���,人們總是將數(shù)據(jù)泄露和隱私侵犯事故與黑客攻擊聯(lián)系起來�����,黑客們利用特定的漏洞來竊取信息���。
但是����,別忘了,更多的數(shù)據(jù)泄露事故常常是疏忽和意外造成的����。
例如�����,Shred-it的一項研究發(fā)現(xiàn)�,40%的高級管理人員和小企業(yè)主表示��,疏忽和意外損失是他們最近一次安全事件的根本原因���。
最近�����,當(dāng)澳大利亞政府承包商的一名員工不小心通過電子郵件向公眾發(fā)送了一個內(nèi)部電子表格來存儲人們的個人可識別信息時���,這一事實得到了強調(diào)。
2. 過勞的IT管理員當(dāng)今的威脅形勢可能令人筋疲力盡�����,尤其是負責(zé)保護公司最重要數(shù)據(jù)的IT管理員�����。
黑客只需要正確一次就可以突破企業(yè)的防線,造成嚴重損失�����,而IT管理員則必須全力抵抗持續(xù)不斷的攻擊���,不容有失�,壓力之大可想而知��。
這可能就是為什么近2/3的網(wǎng)絡(luò)安全專家已考慮辭職或完全離開該行業(yè)的原因����。
這種流失以及員工過度勞累不可避免產(chǎn)生效率下降和失誤,使公司容易受到數(shù)據(jù)安全或隱私事故的影響����。
3. 員工數(shù)據(jù)盜竊在大多數(shù)情況下,員工是公司的最大資產(chǎn)����,它可以促進商品和服務(wù)的交換,從而使企業(yè)蓬勃發(fā)展����。
當(dāng)然,有時候���,偶然的或故意的員工可能是公司的最大責(zé)任�。
現(xiàn)任和前任雇員盜竊公司數(shù)據(jù)的情況非常普遍��,加拿大信用合作社Desjardins很難理解這一點�����。
2019年6月��,一名前員工偷走了近300萬客戶的個人數(shù)據(jù)��,這成為該國歷史上最大的數(shù)據(jù)災(zāi)難之一�。
4. 危險的數(shù)字通信數(shù)字通信是我們?nèi)粘I钪袩o處不在的一部分,對于努力保護客戶隱私的公司而言�,數(shù)字通信的漏洞和風(fēng)險無處不在(編者按:包括微信、QQ等社交通訊)�����。
最令人恐懼的是����,大量員工使用個人設(shè)備或個人帳戶來傳送敏感的客戶信息���。
例如,在醫(yī)療保健行業(yè)����,近30%的醫(yī)療保健團隊成員承認使用個人設(shè)備來傳送私人患者的詳細信息。
5. 網(wǎng)絡(luò)釣魚詐騙微軟的一項分析發(fā)現(xiàn)�,網(wǎng)絡(luò)釣魚詐騙今年增長了250%。
而且�����,這些技術(shù)正在變得越來越復(fù)雜�����,這使它們既難以識別�����,也更成功地實施�����。
這些電子郵件可以使公司收件箱泛濫成災(zāi),而黑客卻很少��。
同時����,單擊單個員工可能會破壞大量公司數(shù)據(jù)�。
6. 數(shù)據(jù)盜竊贖金勒索黑客有很多方法可以從被盜數(shù)據(jù)中獲利。
盡管“暗網(wǎng)”提供了廣闊的銷售機會網(wǎng)絡(luò)��,但越來越多的網(wǎng)絡(luò)犯罪分子不是在網(wǎng)上出售數(shù)據(jù)���,而是開始直接向“失主”收取贖金��。
勒索軟件攻擊已經(jīng)獲得了新的生命�,比去年同期增長了500%��,同時對企業(yè)���,政府機構(gòu)和其他組織構(gòu)成了嚴重的數(shù)據(jù)安全風(fēng)險�����。
7. 員工賄賂在過去的幾年中����,多家知名企業(yè)的員工因收受賄賂泄露企業(yè)數(shù)據(jù)。
在2018年���,亞馬遜調(diào)查了幾名員工在賄賂計劃中的角色�,這些賄賂計劃破壞了公司數(shù)據(jù)��。
最近��,有消息顯示����,AT&T員工正在受賄以在公司網(wǎng)絡(luò)上植入惡意軟件,從而深入了解AT&T的內(nèi)部工作原理��。
可以肯定的是��,賄賂員工并不是網(wǎng)絡(luò)犯罪常態(tài)化的最直接方法�����,但這是公司迫切需要解決的漏洞���。
8. 贖金網(wǎng)絡(luò)在2019年�����,美國各地的市政當(dāng)局都因勒索軟件攻擊而破壞了其IT基礎(chǔ)架構(gòu)���。
但是���,這種威脅并不僅限于政府機構(gòu)��。
沒有最新網(wǎng)絡(luò)安全功能的中小型企業(yè)和其他企業(yè)都容易受到這種威脅�。
不幸的是,2019年恢復(fù)數(shù)據(jù)的成本增加了一倍以上�����,所有跡象表明這種趨勢將持續(xù)到明年��。
9. 每個人都可以隨時訪問所有數(shù)據(jù)員工訪問公司或客戶數(shù)據(jù)應(yīng)該是一種匹配業(yè)務(wù)需要的嚴謹安排����,以最大程度地減少濫用或濫用機會。
但是��,太多的公司為員工分配了過于寬松的數(shù)據(jù)訪問權(quán)限�,極大地增加了將來出現(xiàn)安全或隱私問題的可能性����。
10. 特權(quán)用戶被賦予太多的訪問權(quán)限數(shù)據(jù)隱私擴展到每個人�����,包括員工���,每個公司都需要確保有人在監(jiān)視監(jiān)視器��。
未能在組織的各個級別實行問責(zé)制�,有可能在明年發(fā)生數(shù)據(jù)隱私事件�。
11. 員工需要更多錢員工竊取公司數(shù)據(jù)的原因有很多,但是最明顯��,最明顯的動機之一就是金錢���。
Deep Secure的一項研究發(fā)現(xiàn)���,有45%的員工會考慮將公司數(shù)據(jù)出售給外部人員,而且�,令人難以置信的是,這些信息非常實惠���。
研究發(fā)現(xiàn)�,英國員工中有15%的人會以$ 1,260的價格出售信息,而10%的人以$ 315的價格出售數(shù)據(jù)��。
對于這些不良員工來說���,這些數(shù)據(jù)可能很便宜�����,但對于公司而言,可能意味著高昂的代價�����。
12. 中小企業(yè)高管嚴重低估了網(wǎng)絡(luò)安全的優(yōu)先級新聞報道上看到的往往都是大公司的數(shù)據(jù)泄漏事故�,但事實是中小型企業(yè)最容易受到網(wǎng)絡(luò)攻擊,而不幸的是���,中小企業(yè)高管往往最不可能優(yōu)先考慮網(wǎng)絡(luò)安全計劃��。
Keep Security進行的一項研究發(fā)現(xiàn)����,有66%的中小型企業(yè)不相信會造成數(shù)據(jù)泄露,這與Ponemon Institute的證據(jù)相反�,后者發(fā)現(xiàn)67%的中小型企業(yè)在去年遭受了嚴重攻擊。
13. 無聊的員工根據(jù)Verizon的“數(shù)據(jù)泄露調(diào)查報告”�����,令人驚訝一個事實是���,近24%的數(shù)據(jù)泄露事件是由于員工的無聊所致����。
該報告發(fā)現(xiàn)�,“純粹的樂趣”是網(wǎng)絡(luò)安全或侵犯隱私事件的主要原因之一。
它佐證了企業(yè)員工對數(shù)據(jù)安全的輕狂態(tài)度�����,這種態(tài)度在許多組織中普遍存在�,從整體上講,這種威脅將持續(xù)到明年��。
14. 魚叉式網(wǎng)絡(luò)釣魚活動網(wǎng)絡(luò)釣魚活動令人討厭���,但魚叉式網(wǎng)絡(luò)釣魚活動卻令人恐懼�。
這種特定的網(wǎng)絡(luò)釣魚攻擊使用以前被盜的數(shù)據(jù)來創(chuàng)建格外逼真的電子郵件,難以阻止和防御�����。
最近�,那不勒斯市在一次尷尬而昂貴的事件中吸取了這一教訓(xùn),在針對性魚叉攻擊下�,一名市政府公務(wù)人員支付了欺詐性發(fā)票,導(dǎo)致那不勒斯市政府損失了70萬美元�。
隨著越來越多的數(shù)據(jù)在線可用,這些攻擊只會在未來加劇�。
15. 數(shù)據(jù)泄露只是網(wǎng)絡(luò)欺詐的“第一滴血”通常,數(shù)據(jù)泄露或侵犯隱私只是越來越多的網(wǎng)絡(luò)犯罪中的“第一滴血�。
例如,基于風(fēng)險的安全性(Risk Based Security)的一份報告發(fā)現(xiàn)����,電子郵件地址和密碼是在線數(shù)據(jù)中最受歡迎的�����,在所有數(shù)據(jù)泄露事件中有70%發(fā)生在電子郵件中��。
郵件信息可以部署在其他更“精妙”的網(wǎng)絡(luò)攻擊中�。
16. 憤怒的創(chuàng)始人和高管很少有人像組織的創(chuàng)始人和高級管理層那樣能夠不受限制地訪問公司數(shù)據(jù)�����。
這不是問題���,直到當(dāng)他們決定離開公司或因機構(gòu)或市場動態(tài)而被迫退出時,他們的“不爽”就會成為一個大問題��。
特權(quán)用戶經(jīng)常會出現(xiàn)漏洞�,因為他們受到隱式信任,而監(jiān)督卻很少或根本不存在�,從而為數(shù)據(jù)丟失和侵犯隱私創(chuàng)造了不必要的機會。
17. 員工竊取數(shù)據(jù)用于個人職業(yè)發(fā)展數(shù)量驚人的員工愿意竊取公司數(shù)據(jù)以在就業(yè)市場上獲得優(yōu)勢��。
例如�����,蘋果公司秘密汽車項目的兩名前蘋果員工在竊取了與該項目有關(guān)的2000多個文件后���,被控盜竊數(shù)據(jù)�。
同時���,肇事者正在一家中國自動駕駛汽車公司進行申請��。
無論員工是在掠奪知識產(chǎn)權(quán)���,客戶數(shù)據(jù)還是其他有價值的信息���,都可以在競爭激烈的就業(yè)市場中脫穎而出,這給2020年運營的公司帶來了數(shù)據(jù)安全風(fēng)險�。
18. 簡單得要命的密碼谷歌的一項研究發(fā)現(xiàn),互聯(lián)網(wǎng)上使用的所有登錄憑證中有1.5%容易受到憑證填充攻擊的攻擊����,這些攻擊會遍歷以前被盜的賬戶信息,從而進一步損害公司的IT基礎(chǔ)架構(gòu)�。
有趣的是,員工在得知信息泄露風(fēng)險后依然不愿更改或改進這些密碼�。
不能貫徹實施最佳密碼管理實踐,會使企業(yè)在現(xiàn)在和未來一年面臨巨大風(fēng)險���。
19. 黑客的炫耀很多時候���,黑客攻擊僅僅是為了撈取在圈子里炫耀的資本����。
7月���,信用卡公司Capital One 遭受了一次漏洞的破壞,遭受了泄露1億條記錄的數(shù)據(jù)泄露���,這是所有錯誤的原因���。
入侵是由一名黑客精心策劃的,在大多數(shù)情況下�,他一直在尋求各種在線社區(qū)之間吹牛的權(quán)利。
對于某些人而言�,數(shù)據(jù)盜竊與數(shù)據(jù)或隱私無關(guān),而是與他們自己的惡名有關(guān)��,這對于企業(yè)努力保護其客戶的數(shù)字隱私是一個問題�����。
20. 放棄當(dāng)今危險的數(shù)字環(huán)境可能癱瘓�。
由于安全事件或侵犯隱私是不可避免的觀念而灰心喪氣,太多的公司會放棄�����,而不是抓住機會加強防御。
消極抵抗���、甚至放棄抵抗可能是所有漏洞中最嚴重的漏洞�����。
企業(yè)沒有采取任何行動���,而不是控制可控因素,解決風(fēng)險問題并實施解決整體數(shù)據(jù)安全性的安全策略�。
與前幾年一樣,2020年將充滿風(fēng)險��,這為每個組織提供了一個機會�,使自己在如何處理這種不確定性以及如何計劃保護公司和客戶數(shù)據(jù)方面脫穎而出。
