大多數資料洩露事故的罪魁禍首是人為失誤,而不是黑客攻擊
根據風險緩解和調查服務公司Kroll的最新分析資料顯示,英國資訊委員會(ICO)收到的資料安全事件報告數量在過去兩年中飆升了 75% ,其中 絕大多數安全事件要歸咎於人為失誤,而非惡意的網路攻擊行為。
Kroll公司介紹稱,大約2,124份安全事件報告可歸因於人為失誤,而惡意的網路攻擊事件只有292起。在人為失誤導致的安全事件中,最常見的型別包括:將機密資料通過電子郵件傳送給錯誤的收件人(447起安全事件),丟失或被盜檔案(438起事件)以及將資料儲存在不安全的位置(164起事件)。
醫療保健行業:最糟糕的罪魁禍首
由於人為失誤造成安全事件最多的是醫療保健行業,該行業在過去一年中報告了 1,214 起安全事件,兩年內增長了 41% 。其次是一般商業行業(362起),教育和兒童保健行業(354起)以及地方政府(328起)等。
這些資訊主要來自資訊自由(Freedom of Information,簡稱FOI)請求。據悉,《資訊自由法案》在1966年7月4日簽署成為法律,法案規定任何人都有權利通過書面請求的方式從聯邦政府處獲取資訊,並要求政府機構公開檔案。
Kroll公司負責人解釋稱,在GDPR正式生效之前,大多陣列織並沒有強制要求報告其資料洩露事件,因此雖然這些資料很有啟發性,但它只是給出了英國各組織遭受的真實違規情況的一個縮影。
GDPR正式生效後,不滿足合規性要求的企業將面臨鉅額的罰款,最終的影響是,企業不僅會面臨更大的個人資料財務風險,還將面臨更嚴峻的聲譽風險。
有效的網路安全防禦不僅僅與技術有關。通常而言,企業更傾向於購買最新的軟體來保護自身免受黑客攻擊,但卻未能啟動有效的資料管理流程和員工培訓專案,以最大限度地降低安全風險。事實證明,大多數資料洩露事件,甚至很多網路攻擊行為,都可以通過減少人為失誤或實施相對簡單的安全流程來有效地阻止。
企業必須幫助使用者成為最強大的“鏈條”,而不是最薄弱的環節。
這需要的不僅僅是為使用者提供安全和隱私意識培訓,還需要建立有效的機制來識別和防止內部資料洩露事件的發生。
想要真正地減少人為失誤,增強資料安全性還需要人員、流程和技術的結合:所有這些因素必須仔細調整,以便更為有效、正確地融合在一起。要知道單靠安全性無法阻止違規行為,它還需要進行文化轉變,以便將資料治理的安全意識和文化紮根於整個組織中。
除此之外,資訊自由(FOI)資料還發現, 未加密裝置的丟失或被盜(133起)是資料洩露報告的另一個常見原因 。在報告的蓄意網路事件中,未經授權的訪問是最常見型別(102起),其次是惡意軟體攻擊(53起),網路釣魚攻擊(51起)以及勒索軟體(33起)等。
相關閱讀
ofollow,noindex">內部威脅:防止自己人的危害