大多數(shù)數(shù)據(jù)泄露事故的罪魁禍首是人為失誤����,而不是黑客攻擊
2018年09月26日
根據(jù)風(fēng)險緩解和調(diào)查服務(wù)公司Kroll的最新分析數(shù)據(jù)顯示,英國信息委員會(ICO)收到的數(shù)據(jù)安全事件報告數(shù)量在過去兩年中飆升了75%��,其中絕大多數(shù)安全事件要歸咎于人為失誤�����,而非惡意的網(wǎng)絡(luò)攻擊行為�����。
Kroll公司介紹稱���,大約2,124份安全事件報告可歸因于人為失誤��,而惡意的網(wǎng)絡(luò)攻擊事件只有292起�����。在人為失誤導(dǎo)致的安全事件中��,最常見的類型包括:將機密數(shù)據(jù)通過電子郵件發(fā)送給錯誤的收件人(447起安全事件)�,丟失或被盜文件(438起事件)以及將數(shù)據(jù)存儲在不安全的位置(164起事件)。
醫(yī)療保健行業(yè):最糟糕的罪魁禍首
由于人為失誤造成安全事件最多的是醫(yī)療保健行業(yè)�,該行業(yè)在過去一年中報告了1,214起安全事件,兩年內(nèi)增長了41%�����。其次是一般商業(yè)行業(yè)(362起)����,教育和兒童保健行業(yè)(354起)以及地方政府(328起)等。
這些信息主要來自信息自由(Freedom of Information��,簡稱FOI)請求�。據(jù)悉,《信息自由法案》在1966年7月4日簽署成為法律����,法案規(guī)定任何人都有權(quán)利通過書面請求的方式從聯(lián)邦政府處獲取信息,并要求政府機構(gòu)公開文件��。
Kroll公司負責(zé)人解釋稱����,在GDPR正式生效之前���,大多數(shù)組織并沒有強制要求報告其數(shù)據(jù)泄露事件,因此雖然這些數(shù)據(jù)很有啟發(fā)性�����,但它只是給出了英國各組織遭受的真實違規(guī)情況的一個縮影���。
GDPR正式生效后,不滿足合規(guī)性要求的企業(yè)將面臨巨額的罰款���,最終的影響是���,企業(yè)不僅會面臨更大的個人數(shù)據(jù)財務(wù)風(fēng)險,還將面臨更嚴峻的聲譽風(fēng)險��。
有效的網(wǎng)絡(luò)安全防御不僅僅與技術(shù)有關(guān)����。通常而言,企業(yè)更傾向于購買最新的軟件來保護自身免受黑客攻擊��,但卻未能啟動有效的數(shù)據(jù)管理流程和員工培訓(xùn)項目,以最大限度地降低安全風(fēng)險��。事實證明��,大多數(shù)數(shù)據(jù)泄露事件��,甚至很多網(wǎng)絡(luò)攻擊行為����,都可以通過減少人為失誤或?qū)嵤┫鄬唵蔚陌踩鞒虂碛行У刈柚埂?/span>
企業(yè)必須幫助用戶成為最強大的“鏈條”,而不是最薄弱的環(huán)節(jié)����。 |
這需要的不僅僅是為用戶提供安全和隱私意識培訓(xùn),還需要建立有效的機制來識別和防止內(nèi)部數(shù)據(jù)泄露事件的發(fā)生����。
想要真正地減少人為失誤,增強數(shù)據(jù)安全性還需要人員�、流程和技術(shù)的結(jié)合:所有這些因素必須仔細調(diào)整,以便更為有效��、正確地融合在一起����。要知道單靠安全性無法阻止違規(guī)行為�,它還需要進行文化轉(zhuǎn)變����,以便將數(shù)據(jù)治理的安全意識和文化扎根于整個組織中。
除此之外��,信息自由(FOI)數(shù)據(jù)還發(fā)現(xiàn)��,未加密設(shè)備的丟失或被盜(133起)是數(shù)據(jù)泄露報告的另一個常見原因�。在報告的蓄意網(wǎng)絡(luò)事件中,未經(jīng)授權(quán)的訪問是最常見類型(102起)��,其次是惡意軟件攻擊(53起)���,網(wǎng)絡(luò)釣魚攻擊(51起)以及勒索軟件(33起)等。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全����、運維平臺建設(shè)、動漫設(shè)計���、軟件研發(fā)�����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型�,從“人員素養(yǎng)”�、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面���、可信的方案�,業(yè)務(wù)涵蓋咨詢�����、評估�����、規(guī)劃��、管控���、建設(shè)�、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
