大多數(shù)數(shù)據(jù)泄露事故的罪魁禍?zhǔn)资侨藶槭д`,而不是黑客攻擊
2018年09月26日
根據(jù)風(fēng)險(xiǎn)緩解和調(diào)查服務(wù)公司Kroll的最新分析數(shù)據(jù)顯示��,英國信息委員會(huì)(ICO)收到的數(shù)據(jù)安全事件報(bào)告數(shù)量在過去兩年中飆升了75%��,其中絕大多數(shù)安全事件要?dú)w咎于人為失誤�,而非惡意的網(wǎng)絡(luò)攻擊行為。
Kroll公司介紹稱�,大約2,124份安全事件報(bào)告可歸因于人為失誤,而惡意的網(wǎng)絡(luò)攻擊事件只有292起���。在人為失誤導(dǎo)致的安全事件中���,最常見的類型包括:將機(jī)密數(shù)據(jù)通過電子郵件發(fā)送給錯(cuò)誤的收件人(447起安全事件)�,丟失或被盜文件(438起事件)以及將數(shù)據(jù)存儲(chǔ)在不安全的位置(164起事件)。
醫(yī)療保健行業(yè):最糟糕的罪魁禍?zhǔn)?/strong>
由于人為失誤造成安全事件最多的是醫(yī)療保健行業(yè)�����,該行業(yè)在過去一年中報(bào)告了1,214起安全事件���,兩年內(nèi)增長了41%����。其次是一般商業(yè)行業(yè)(362起),教育和兒童保健行業(yè)(354起)以及地方政府(328起)等�����。
這些信息主要來自信息自由(Freedom of Information����,簡稱FOI)請求。據(jù)悉����,《信息自由法案》在1966年7月4日簽署成為法律,法案規(guī)定任何人都有權(quán)利通過書面請求的方式從聯(lián)邦政府處獲取信息���,并要求政府機(jī)構(gòu)公開文件���。
Kroll公司負(fù)責(zé)人解釋稱,在GDPR正式生效之前����,大多數(shù)組織并沒有強(qiáng)制要求報(bào)告其數(shù)據(jù)泄露事件��,因此雖然這些數(shù)據(jù)很有啟發(fā)性��,但它只是給出了英國各組織遭受的真實(shí)違規(guī)情況的一個(gè)縮影��。
GDPR正式生效后���,不滿足合規(guī)性要求的企業(yè)將面臨巨額的罰款,最終的影響是�����,企業(yè)不僅會(huì)面臨更大的個(gè)人數(shù)據(jù)財(cái)務(wù)風(fēng)險(xiǎn)���,還將面臨更嚴(yán)峻的聲譽(yù)風(fēng)險(xiǎn)�。
有效的網(wǎng)絡(luò)安全防御不僅僅與技術(shù)有關(guān)�����。通常而言�,企業(yè)更傾向于購買最新的軟件來保護(hù)自身免受黑客攻擊,但卻未能啟動(dòng)有效的數(shù)據(jù)管理流程和員工培訓(xùn)項(xiàng)目����,以最大限度地降低安全風(fēng)險(xiǎn)。事實(shí)證明��,大多數(shù)數(shù)據(jù)泄露事件�,甚至很多網(wǎng)絡(luò)攻擊行為,都可以通過減少人為失誤或?qū)嵤┫鄬唵蔚陌踩鞒虂碛行У刈柚埂?/span>
企業(yè)必須幫助用戶成為最強(qiáng)大的“鏈條”����,而不是最薄弱的環(huán)節(jié)。 |
這需要的不僅僅是為用戶提供安全和隱私意識(shí)培訓(xùn)��,還需要建立有效的機(jī)制來識(shí)別和防止內(nèi)部數(shù)據(jù)泄露事件的發(fā)生��。
想要真正地減少人為失誤����,增強(qiáng)數(shù)據(jù)安全性還需要人員、流程和技術(shù)的結(jié)合:所有這些因素必須仔細(xì)調(diào)整�����,以便更為有效�、正確地融合在一起。要知道單靠安全性無法阻止違規(guī)行為�����,它還需要進(jìn)行文化轉(zhuǎn)變,以便將數(shù)據(jù)治理的安全意識(shí)和文化扎根于整個(gè)組織中�。
除此之外,信息自由(FOI)數(shù)據(jù)還發(fā)現(xiàn)����,未加密設(shè)備的丟失或被盜(133起)是數(shù)據(jù)泄露報(bào)告的另一個(gè)常見原因。在報(bào)告的蓄意網(wǎng)絡(luò)事件中�����,未經(jīng)授權(quán)的訪問是最常見類型(102起)����,其次是惡意軟件攻擊(53起),網(wǎng)絡(luò)釣魚攻擊(51起)以及勒索軟件(33起)等��。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運(yùn)維平臺(tái)建設(shè)����、動(dòng)漫設(shè)計(jì)���、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”��、“制度流程”����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面��、可信的方案���,業(yè)務(wù)涵蓋咨詢��、評估����、規(guī)劃����、管控���、建設(shè)、培訓(xùn)等�����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商�����。
