如今����,數據安全已成為公司�����、消費者和監管機構的頭等大事��。
近年來(lái)數據泄露和隱私事故越來(lái)越普遍��,而且代價(jià)高昂����。Risk Based
Security的一項研究發(fā)現����,數據泄露比去年同期上升了54%以上����。同時(shí)����,IBM的年度數據泄露成本報告發(fā)現����,數據泄露的平均總成本接近400萬(wàn)美元��。
數據安全
綜上所述�����,很明顯�����,隨著(zhù)以隱私和安全成為數字時(shí)代的新標志����,數據安全和隱私將是2020年企業(yè)面臨的頭等大事����。
為了幫助企業(yè)為日益增長(cháng)的確定性風(fēng)險做好準備����,以下我們總結了企業(yè)2020年可能面臨的20種數據安全風(fēng)險��。
1. 意外數據泄露
通常����,人們總是將數據泄露和隱私侵犯事故與黑客攻擊聯(lián)系起來(lái)��,黑客們利用特定的漏洞來(lái)竊取信息�����。但是�����,別忘了��,更多的數據泄露事故常常是疏忽和意外造成的��。
例如��,Shred-it的一項研究發(fā)現��,40%的高級管理人員和小企業(yè)主表示��,疏忽和意外損失是他們最近一次安全事件的根本原因����。
最近����,當澳大利亞政府承包商的一名員工不小心通過(guò)電子郵件向公眾發(fā)送了一個(gè)內部電子表格來(lái)存儲人們的個(gè)人可識別信息時(shí)����,這一事實(shí)得到了強調��。
2. 過(guò)勞的IT管理員
當今的威脅形勢可能令人筋疲力盡����,尤其是負責保護公司最重要數據的IT管理員�����。
黑客只需要正確一次就可以突破企業(yè)的防線(xiàn)����,造成嚴重損失��,而IT管理員則必須全力抵抗持續不斷的攻擊�����,不容有失�����,壓力之大可想而知����。這可能就是為什么近2/3的網(wǎng)絡(luò )安全專(zhuān)家已考慮辭職或完全離開(kāi)該行業(yè)的原因�����。
這種流失以及員工過(guò)度勞累不可避免產(chǎn)生效率下降和失誤����,使公司容易受到數據安全或隱私事故的影響�����。
3. 員工數據盜竊
在大多數情況下��,員工是公司的最大資產(chǎn)��,它可以促進(jìn)商品和服務(wù)的交換�����,從而使企業(yè)蓬勃發(fā)展����。
當然�����,有時(shí)候�����,偶然的或故意的員工可能是公司的最大責任?�,F任和前任雇員盜竊公司數據的情況非常普遍�����,加拿大信用合作社Desjardins很難理解這一點(diǎn)����。
2019年6月�����,一名前員工偷走了近300萬(wàn)客戶(hù)的個(gè)人數據��,這成為該國歷史上最大的數據災難之一�����。
4. 危險的數字通信
數字通信是我們日常生活中無(wú)處不在的一部分����,對于努力保護客戶(hù)隱私的公司而言�����,數字通信的漏洞和風(fēng)險無(wú)處不在(編者按:包括微信����、QQ等社交通訊)��。
最令人恐懼的是�����,大量員工使用個(gè)人設備或個(gè)人帳戶(hù)來(lái)傳送敏感的客戶(hù)信息�����。
例如��,在醫療保健行業(yè)��,近30%的醫療保健團隊成員承認使用個(gè)人設備來(lái)傳送私人患者的詳細信息��。
5. 網(wǎng)絡(luò )釣魚(yú)詐騙
微軟的一項分析發(fā)現����,網(wǎng)絡(luò )釣魚(yú)詐騙今年增長(cháng)了250%�����。而且�����,這些技術(shù)正在變得越來(lái)越復雜��,這使它們既難以識別��,也更成功地實(shí)施����。
這些電子郵件可以使公司收件箱泛濫成災��,而黑客卻很少����。同時(shí)�����,單擊單個(gè)員工可能會(huì )破壞大量公司數據�����。
6. 數據盜竊贖金勒索
黑客有很多方法可以從被盜數據中獲利����。盡管“暗網(wǎng)”提供了廣闊的銷(xiāo)售機會(huì )網(wǎng)絡(luò )�����,但越來(lái)越多的網(wǎng)絡(luò )犯罪分子不是在網(wǎng)上出售數據�����,而是開(kāi)始直接向“失主”收取贖金�����。
勒索軟件攻擊已經(jīng)獲得了新的生命�����,比去年同期增長(cháng)了500%��,同時(shí)對企業(yè)�����,政府機構和其他組織構成了嚴重的數據安全風(fēng)險��。
7. 員工賄賂
在過(guò)去的幾年中��,多家知名企業(yè)的員工因收受賄賂泄露企業(yè)數據����。
在2018年����,亞馬遜調查了幾名員工在賄賂計劃中的角色��,這些賄賂計劃破壞了公司數據����。最近��,有消息顯示�����,AT&T員工正在受賄以在公司網(wǎng)絡(luò )上植入惡意軟件�����,從而深入了解AT&T的內部工作原理��。
可以肯定的是����,賄賂員工并不是網(wǎng)絡(luò )犯罪常態(tài)化的最直接方法����,但這是公司迫切需要解決的漏洞��。
8. 贖金網(wǎng)絡(luò )
在2019年����,美國各地的市政當局都因勒索軟件攻擊而破壞了其IT基礎架構����。但是����,這種威脅并不僅限于政府機構�����。沒(méi)有最新網(wǎng)絡(luò )安全功能的中小型企業(yè)和其他企業(yè)都容易受到這種威脅��。
不幸的是����,2019年恢復數據的成本增加了一倍以上��,所有跡象表明這種趨勢將持續到明年��。
9. 每個(gè)人都可以隨時(shí)訪(fǎng)問(wèn)所有數據
員工訪(fǎng)問(wèn)公司或客戶(hù)數據應該是一種匹配業(yè)務(wù)需要的嚴謹安排����,以最大程度地減少濫用或濫用機會(huì )����。但是�����,太多的公司為員工分配了過(guò)于寬松的數據訪(fǎng)問(wèn)權限����,極大地增加了將來(lái)出現安全或隱私問(wèn)題的可能性����。
10. 特權用戶(hù)被賦予太多的訪(fǎng)問(wèn)權限
數據隱私擴展到每個(gè)人�����,包括員工�����,每個(gè)公司都需要確保有人在監視監視器����。未能在組織的各個(gè)級別實(shí)行問(wèn)責制��,有可能在明年發(fā)生數據隱私事件�����。
11. 員工需要更多錢(qián)
員工竊取公司數據的原因有很多��,但是最明顯��,最明顯的動(dòng)機之一就是金錢(qián)����。Deep Secure的一項研究發(fā)現����,有45%的員工會(huì )考慮將公司數據出售給外部人員��,而且��,令人難以置信的是����,這些信息非常實(shí)惠�����。
研究發(fā)現�����,英國員工中有15%的人會(huì )以$ 1,260的價(jià)格出售信息����,而10%的人以$ 315的價(jià)格出售數據��。
對于這些不良員工來(lái)說(shuō)�����,這些數據可能很便宜��,但對于公司而言��,可能意味著(zhù)高昂的代價(jià)����。
12. 中小企業(yè)高管?chē)乐氐凸懒司W(wǎng)絡(luò )安全的優(yōu)先級
新聞報道上看到的往往都是大公司的數據泄漏事故�����,但事實(shí)是中小型企業(yè)最容易受到網(wǎng)絡(luò )攻擊�����,而不幸的是��,中小企業(yè)高管往往最不可能優(yōu)先考慮網(wǎng)絡(luò )安全計劃��。Keep
Security進(jìn)行的一項研究發(fā)現�����,有66%的中小型企業(yè)不相信會(huì )造成數據泄露��,這與Ponemon Institute的證據相反��,后者發(fā)現67%的中小型企業(yè)在去年遭受了嚴重攻擊��。
13. 無(wú)聊的員工
根據Verizon的“數據泄露調查報告”��,令人驚訝一個(gè)事實(shí)是�����,近24%的數據泄露事件是由于員工的無(wú)聊所致��。該報告發(fā)現��,“純粹的樂(lè )趣”是網(wǎng)絡(luò )安全或侵犯隱私事件的主要原因之一��。
它佐證了企業(yè)員工對數據安全的輕狂態(tài)度��,這種態(tài)度在許多組織中普遍存在����,從整體上講��,這種威脅將持續到明年�����。
14. 魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)活動(dòng)
網(wǎng)絡(luò )釣魚(yú)活動(dòng)令人討厭����,但魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)活動(dòng)卻令人恐懼��。這種特定的網(wǎng)絡(luò )釣魚(yú)攻擊使用以前被盜的數據來(lái)創(chuàng )建格外逼真的電子郵件����,難以阻止和防御�����。
最近����,那不勒斯市在一次尷尬而昂貴的事件中吸取了這一教訓�����,在針對性魚(yú)叉攻擊下�����,一名市政府公務(wù)人員支付了欺詐性發(fā)票��,導致那不勒斯市政府損失了70萬(wàn)美元��。
隨著(zhù)越來(lái)越多的數據在線(xiàn)可用����,這些攻擊只會(huì )在未來(lái)加劇��。
15. 數據泄露只是網(wǎng)絡(luò )欺詐的“第一滴血”
通常����,數據泄露或侵犯隱私只是越來(lái)越多的網(wǎng)絡(luò )犯罪中的“第一滴血�����。例如����,基于風(fēng)險的安全性(Risk Based
Security)的一份報告發(fā)現��,電子郵件地址和密碼是在線(xiàn)數據中最受歡迎的��,在所有數據泄露事件中有70%發(fā)生在電子郵件中��。郵件信息可以部署在其他更“精妙”的網(wǎng)絡(luò )攻擊中�����。
16. 憤怒的創(chuàng )始人和高管
很少有人像組織的創(chuàng )始人和高級管理層那樣能夠不受限制地訪(fǎng)問(wèn)公司數據��。這不是問(wèn)題�����,直到當他們決定離開(kāi)公司或因機構或市場(chǎng)動(dòng)態(tài)而被迫退出時(shí)�����,他們的“不爽”就會(huì )成為一個(gè)大問(wèn)題�����。
特權用戶(hù)經(jīng)常會(huì )出現漏洞��,因為他們受到隱式信任��,而監督卻很少或根本不存在�����,從而為數據丟失和侵犯隱私創(chuàng )造了不必要的機會(huì )�����。
17. 員工竊取數據用于個(gè)人職業(yè)發(fā)展
數量驚人的員工愿意竊取公司數據以在就業(yè)市場(chǎng)上獲得優(yōu)勢��。例如����,蘋(píng)果公司秘密汽車(chē)項目的兩名前蘋(píng)果員工在竊取了與該項目有關(guān)的2000多個(gè)文件后�����,被控盜竊數據�����。
同時(shí)����,肇事者正在一家中國自動(dòng)駕駛汽車(chē)公司進(jìn)行申請�����。無(wú)論員工是在掠奪知識產(chǎn)權��,客戶(hù)數據還是其他有價(jià)值的信息�����,都可以在競爭激烈的就業(yè)市場(chǎng)中脫穎而出����,這給2020年運營(yíng)的公司帶來(lái)了數據安全風(fēng)險����。
18. 簡(jiǎn)單得要命的密碼
谷歌的一項研究發(fā)現����,互聯(lián)網(wǎng)上使用的所有登錄憑證中有1.5%容易受到憑證填充攻擊的攻擊�����,這些攻擊會(huì )遍歷以前被盜的賬戶(hù)信息��,從而進(jìn)一步損害公司的IT基礎架構��。
有趣的是��,員工在得知信息泄露風(fēng)險后依然不愿更改或改進(jìn)這些密碼��。不能貫徹實(shí)施最佳密碼管理實(shí)踐����,會(huì )使企業(yè)在現在和未來(lái)一年面臨巨大風(fēng)險����。
19. 黑客的炫耀
很多時(shí)候����,黑客攻擊僅僅是為了撈取在圈子里炫耀的資本�����。7月�����,信用卡公司Capital One 遭受了一次漏洞的破壞����,遭受了泄露1億條記錄的數據泄露��,這是所有錯誤的原因��。
入侵是由一名黑客精心策劃的��,在大多數情況下�����,他一直在尋求各種在線(xiàn)社區之間吹牛的權利����。
對于某些人而言�����,數據盜竊與數據或隱私無(wú)關(guān)��,而是與他們自己的惡名有關(guān)��,這對于企業(yè)努力保護其客戶(hù)的數字隱私是一個(gè)問(wèn)題��。
20. 放棄
當今危險的數字環(huán)境可能癱瘓��。由于安全事件或侵犯隱私是不可避免的觀(guān)念而灰心喪氣�����,太多的公司會(huì )放棄����,而不是抓住機會(huì )加強防御��。
消極抵抗����、甚至放棄抵抗可能是所有漏洞中最嚴重的漏洞�����。企業(yè)沒(méi)有采取任何行動(dòng)�����,而不是控制可控因素�����,解決風(fēng)險問(wèn)題并實(shí)施解決整體數據安全性的安全策略�����。
與前幾年一樣��,2020年將充滿(mǎn)風(fēng)險����,這為每個(gè)組織提供了一個(gè)機會(huì )��,使自己在如何處理這種不確定性以及如何計劃保護公司和客戶(hù)數據方面脫穎而出��。
