未來(lái)企業(yè)將面臨的數(shù)據(jù)安全風(fēng)險(xiǎn) | 數(shù)據(jù)防泄密如今��,數(shù)據(jù)安全已成為公司、消費(fèi)者和監(jiān)管機(jī)構(gòu)的頭等大事。
近年來(lái)數(shù)據(jù)泄露和隱私事故越來(lái)越普遍�����,而且代價(jià)高昂����。
Risk Based Security的一項(xiàng)研究發(fā)現(xiàn)�����,數(shù)據(jù)泄露比去年同期上升了54%以上。
同時(shí)��,IBM的年度數(shù)據(jù)泄露成本報(bào)告發(fā)現(xiàn)�����,數(shù)據(jù)泄露的平均總成本接近400萬(wàn)美元����。
綜上所述�����,很明顯�����,隨著以隱私和安全成為數(shù)字時(shí)代的新標(biāo)志,數(shù)據(jù)安全和隱私將是2020年企業(yè)面臨的頭等大事。
為了幫助企業(yè)為日益增長(zhǎng)的確定性風(fēng)險(xiǎn)做好準(zhǔn)備,以下我們總結(jié)了企業(yè)2020年可能面臨的20種數(shù)據(jù)安全風(fēng)險(xiǎn)�����。
1. 意外數(shù)據(jù)泄露通常����,人們總是將數(shù)據(jù)泄露和隱私侵犯事故與黑客攻擊聯(lián)系起來(lái),黑客們利用特定的漏洞來(lái)竊取信息。
但是��,別忘了��,更多的數(shù)據(jù)泄露事故常常是疏忽和意外造成的�����。
例如,Shred-it的一項(xiàng)研究發(fā)現(xiàn),40%的高級(jí)管理人員和小企業(yè)主表示�����,疏忽和意外損失是他們最近一次安全事件的根本原因����。
最近�����,當(dāng)澳大利亞政府承包商的一名員工不小心通過(guò)電子郵件向公眾發(fā)送了一個(gè)內(nèi)部電子表格來(lái)存儲(chǔ)人們的個(gè)人可識(shí)別信息時(shí)�����,這一事實(shí)得到了強(qiáng)調(diào)。
2. 過(guò)勞的IT管理員當(dāng)今的威脅形勢(shì)可能令人筋疲力盡��,尤其是負(fù)責(zé)保護(hù)公司最重要數(shù)據(jù)的IT管理員����。
黑客只需要正確一次就可以突破企業(yè)的防線,造成嚴(yán)重?fù)p失�����,而IT管理員則必須全力抵抗持續(xù)不斷的攻擊����,不容有失,壓力之大可想而知�����。
這可能就是為什么近2/3的網(wǎng)絡(luò)安全專(zhuān)家已考慮辭職或完全離開(kāi)該行業(yè)的原因。
這種流失以及員工過(guò)度勞累不可避免產(chǎn)生效率下降和失誤��,使公司容易受到數(shù)據(jù)安全或隱私事故的影響��。
3. 員工數(shù)據(jù)盜竊在大多數(shù)情況下�����,員工是公司的最大資產(chǎn),它可以促進(jìn)商品和服務(wù)的交換�����,從而使企業(yè)蓬勃發(fā)展�����。
當(dāng)然,有時(shí)候����,偶然的或故意的員工可能是公司的最大責(zé)任����。
現(xiàn)任和前任雇員盜竊公司數(shù)據(jù)的情況非常普遍�����,加拿大信用合作社Desjardins很難理解這一點(diǎn)����。
2019年6月�����,一名前員工偷走了近300萬(wàn)客戶(hù)的個(gè)人數(shù)據(jù)��,這成為該國(guó)歷史上最大的數(shù)據(jù)災(zāi)難之一。
4. 危險(xiǎn)的數(shù)字通信數(shù)字通信是我們?nèi)粘I钪袩o(wú)處不在的一部分��,對(duì)于努力保護(hù)客戶(hù)隱私的公司而言�����,數(shù)字通信的漏洞和風(fēng)險(xiǎn)無(wú)處不在(編者按:包括微信、QQ等社交通訊)�����。
最令人恐懼的是�����,大量員工使用個(gè)人設(shè)備或個(gè)人帳戶(hù)來(lái)傳送敏感的客戶(hù)信息��。
例如,在醫(yī)療保健行業(yè),近30%的醫(yī)療保健團(tuán)隊(duì)成員承認(rèn)使用個(gè)人設(shè)備來(lái)傳送私人患者的詳細(xì)信息�����。
5. 網(wǎng)絡(luò)釣魚(yú)詐騙微軟的一項(xiàng)分析發(fā)現(xiàn)��,網(wǎng)絡(luò)釣魚(yú)詐騙今年增長(zhǎng)了250%��。
而且,這些技術(shù)正在變得越來(lái)越復(fù)雜,這使它們既難以識(shí)別����,也更成功地實(shí)施����。
這些電子郵件可以使公司收件箱泛濫成災(zāi)����,而黑客卻很少��。
同時(shí),單擊單個(gè)員工可能會(huì)破壞大量公司數(shù)據(jù)。
6. 數(shù)據(jù)盜竊贖金勒索黑客有很多方法可以從被盜數(shù)據(jù)中獲利�����。
盡管“暗網(wǎng)”提供了廣闊的銷(xiāo)售機(jī)會(huì)網(wǎng)絡(luò)��,但越來(lái)越多的網(wǎng)絡(luò)犯罪分子不是在網(wǎng)上出售數(shù)據(jù)����,而是開(kāi)始直接向“失主”收取贖金�����。
勒索軟件攻擊已經(jīng)獲得了新的生命�����,比去年同期增長(zhǎng)了500%,同時(shí)對(duì)企業(yè),政府機(jī)構(gòu)和其他組織構(gòu)成了嚴(yán)重的數(shù)據(jù)安全風(fēng)險(xiǎn)��。
7. 員工賄賂在過(guò)去的幾年中����,多家知名企業(yè)的員工因收受賄賂泄露企業(yè)數(shù)據(jù)。
在2018年��,亞馬遜調(diào)查了幾名員工在賄賂計(jì)劃中的角色����,這些賄賂計(jì)劃破壞了公司數(shù)據(jù)。
最近�����,有消息顯示��,AT&T員工正在受賄以在公司網(wǎng)絡(luò)上植入惡意軟件�����,從而深入了解AT&T的內(nèi)部工作原理����。
可以肯定的是,賄賂員工并不是網(wǎng)絡(luò)犯罪常態(tài)化的最直接方法��,但這是公司迫切需要解決的漏洞�����。
8. 贖金網(wǎng)絡(luò)在2019年��,美國(guó)各地的市政當(dāng)局都因勒索軟件攻擊而破壞了其IT基礎(chǔ)架構(gòu)。
但是����,這種威脅并不僅限于政府機(jī)構(gòu)��。
沒(méi)有最新網(wǎng)絡(luò)安全功能的中小型企業(yè)和其他企業(yè)都容易受到這種威脅。
不幸的是��,2019年恢復(fù)數(shù)據(jù)的成本增加了一倍以上����,所有跡象表明這種趨勢(shì)將持續(xù)到明年。
9. 每個(gè)人都可以隨時(shí)訪問(wèn)所有數(shù)據(jù)員工訪問(wèn)公司或客戶(hù)數(shù)據(jù)應(yīng)該是一種匹配業(yè)務(wù)需要的嚴(yán)謹(jǐn)安排��,以最大程度地減少濫用或?yàn)E用機(jī)會(huì)����。
但是,太多的公司為員工分配了過(guò)于寬松的數(shù)據(jù)訪問(wèn)權(quán)限��,極大地增加了將來(lái)出現(xiàn)安全或隱私問(wèn)題的可能性�����。
10. 特權(quán)用戶(hù)被賦予太多的訪問(wèn)權(quán)限數(shù)據(jù)隱私擴(kuò)展到每個(gè)人��,包括員工,每個(gè)公司都需要確保有人在監(jiān)視監(jiān)視器��。
未能在組織的各個(gè)級(jí)別實(shí)行問(wèn)責(zé)制����,有可能在明年發(fā)生數(shù)據(jù)隱私事件。
11. 員工需要更多錢(qián)員工竊取公司數(shù)據(jù)的原因有很多����,但是最明顯��,最明顯的動(dòng)機(jī)之一就是金錢(qián)。
Deep Secure的一項(xiàng)研究發(fā)現(xiàn)�����,有45%的員工會(huì)考慮將公司數(shù)據(jù)出售給外部人員�����,而且����,令人難以置信的是��,這些信息非常實(shí)惠�����。
研究發(fā)現(xiàn),英國(guó)員工中有15%的人會(huì)以$ 1,260的價(jià)格出售信息����,而10%的人以$ 315的價(jià)格出售數(shù)據(jù)。
對(duì)于這些不良員工來(lái)說(shuō),這些數(shù)據(jù)可能很便宜,但對(duì)于公司而言,可能意味著高昂的代價(jià)。
12. 中小企業(yè)高管?chē)?yán)重低估了網(wǎng)絡(luò)安全的優(yōu)先級(jí)新聞報(bào)道上看到的往往都是大公司的數(shù)據(jù)泄漏事故,但事實(shí)是中小型企業(yè)最容易受到網(wǎng)絡(luò)攻擊,而不幸的是,中小企業(yè)高管往往最不可能優(yōu)先考慮網(wǎng)絡(luò)安全計(jì)劃����。
Keep Security進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)��,有66%的中小型企業(yè)不相信會(huì)造成數(shù)據(jù)泄露,這與Ponemon Institute的證據(jù)相反,后者發(fā)現(xiàn)67%的中小型企業(yè)在去年遭受了嚴(yán)重攻擊。
13. 無(wú)聊的員工根據(jù)Verizon的“數(shù)據(jù)泄露調(diào)查報(bào)告”�����,令人驚訝一個(gè)事實(shí)是��,近24%的數(shù)據(jù)泄露事件是由于員工的無(wú)聊所致��。
該報(bào)告發(fā)現(xiàn)��,“純粹的樂(lè)趣”是網(wǎng)絡(luò)安全或侵犯隱私事件的主要原因之一。
它佐證了企業(yè)員工對(duì)數(shù)據(jù)安全的輕狂態(tài)度����,這種態(tài)度在許多組織中普遍存在����,從整體上講�����,這種威脅將持續(xù)到明年�����。
14. 魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)網(wǎng)絡(luò)釣魚(yú)活動(dòng)令人討厭,但魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)卻令人恐懼。
這種特定的網(wǎng)絡(luò)釣魚(yú)攻擊使用以前被盜的數(shù)據(jù)來(lái)創(chuàng)建格外逼真的電子郵件��,難以阻止和防御��。
最近,那不勒斯市在一次尷尬而昂貴的事件中吸取了這一教訓(xùn)��,在針對(duì)性魚(yú)叉攻擊下��,一名市政府公務(wù)人員支付了欺詐性發(fā)票�����,導(dǎo)致那不勒斯市政府損失了70萬(wàn)美元��。
隨著越來(lái)越多的數(shù)據(jù)在線可用,這些攻擊只會(huì)在未來(lái)加劇�����。
15. 數(shù)據(jù)泄露只是網(wǎng)絡(luò)欺詐的“第一滴血”通常����,數(shù)據(jù)泄露或侵犯隱私只是越來(lái)越多的網(wǎng)絡(luò)犯罪中的“第一滴血。
例如,基于風(fēng)險(xiǎn)的安全性(Risk Based Security)的一份報(bào)告發(fā)現(xiàn)�����,電子郵件地址和密碼是在線數(shù)據(jù)中最受歡迎的����,在所有數(shù)據(jù)泄露事件中有70%發(fā)生在電子郵件中。
郵件信息可以部署在其他更“精妙”的網(wǎng)絡(luò)攻擊中。
16. 憤怒的創(chuàng)始人和高管很少有人像組織的創(chuàng)始人和高級(jí)管理層那樣能夠不受限制地訪問(wèn)公司數(shù)據(jù)����。
這不是問(wèn)題����,直到當(dāng)他們決定離開(kāi)公司或因機(jī)構(gòu)或市場(chǎng)動(dòng)態(tài)而被迫退出時(shí)����,他們的“不爽”就會(huì)成為一個(gè)大問(wèn)題�����。
特權(quán)用戶(hù)經(jīng)常會(huì)出現(xiàn)漏洞����,因?yàn)樗麄兪艿诫[式信任����,而監(jiān)督卻很少或根本不存在,從而為數(shù)據(jù)丟失和侵犯隱私創(chuàng)造了不必要的機(jī)會(huì)��。
17. 員工竊取數(shù)據(jù)用于個(gè)人職業(yè)發(fā)展數(shù)量驚人的員工愿意竊取公司數(shù)據(jù)以在就業(yè)市場(chǎng)上獲得優(yōu)勢(shì)�����。
例如����,蘋(píng)果公司秘密汽車(chē)項(xiàng)目的兩名前蘋(píng)果員工在竊取了與該項(xiàng)目有關(guān)的2000多個(gè)文件后��,被控盜竊數(shù)據(jù)����。
同時(shí)�����,肇事者正在一家中國(guó)自動(dòng)駕駛汽車(chē)公司進(jìn)行申請(qǐng)。
無(wú)論員工是在掠奪知識(shí)產(chǎn)權(quán),客戶(hù)數(shù)據(jù)還是其他有價(jià)值的信息�����,都可以在競(jìng)爭(zhēng)激烈的就業(yè)市場(chǎng)中脫穎而出�����,這給2020年運(yùn)營(yíng)的公司帶來(lái)了數(shù)據(jù)安全風(fēng)險(xiǎn)����。
18. 簡(jiǎn)單得要命的密碼谷歌的一項(xiàng)研究發(fā)現(xiàn)�����,互聯(lián)網(wǎng)上使用的所有登錄憑證中有1.5%容易受到憑證填充攻擊的攻擊�����,這些攻擊會(huì)遍歷以前被盜的賬戶(hù)信息��,從而進(jìn)一步損害公司的IT基礎(chǔ)架構(gòu)。
有趣的是����,員工在得知信息泄露風(fēng)險(xiǎn)后依然不愿更改或改進(jìn)這些密碼����。
不能貫徹實(shí)施最佳密碼管理實(shí)踐�����,會(huì)使企業(yè)在現(xiàn)在和未來(lái)一年面臨巨大風(fēng)險(xiǎn)。
19. 黑客的炫耀很多時(shí)候,黑客攻擊僅僅是為了撈取在圈子里炫耀的資本�����。
7月����,信用卡公司Capital One 遭受了一次漏洞的破壞,遭受了泄露1億條記錄的數(shù)據(jù)泄露,這是所有錯(cuò)誤的原因����。
入侵是由一名黑客精心策劃的����,在大多數(shù)情況下����,他一直在尋求各種在線社區(qū)之間吹牛的權(quán)利。
對(duì)于某些人而言,數(shù)據(jù)盜竊與數(shù)據(jù)或隱私無(wú)關(guān)�����,而是與他們自己的惡名有關(guān)��,這對(duì)于企業(yè)努力保護(hù)其客戶(hù)的數(shù)字隱私是一個(gè)問(wèn)題��。
20. 放棄當(dāng)今危險(xiǎn)的數(shù)字環(huán)境可能癱瘓。
由于安全事件或侵犯隱私是不可避免的觀念而灰心喪氣����,太多的公司會(huì)放棄����,而不是抓住機(jī)會(huì)加強(qiáng)防御�����。
消極抵抗、甚至放棄抵抗可能是所有漏洞中最嚴(yán)重的漏洞�����。
企業(yè)沒(méi)有采取任何行動(dòng)��,而不是控制可控因素�����,解決風(fēng)險(xiǎn)問(wèn)題并實(shí)施解決整體數(shù)據(jù)安全性的安全策略。
與前幾年一樣����,2020年將充滿(mǎn)風(fēng)險(xiǎn)�����,這為每個(gè)組織提供了一個(gè)機(jī)會(huì)����,使自己在如何處理這種不確定性以及如何計(jì)劃保護(hù)公司和客戶(hù)數(shù)據(jù)方面脫穎而出�����。
