根据风险缓解和调查服务公司Kroll的最新分析数据显示,英国信息委员会(ICO)收到的数据安全事件报告数量在过去两年中飙升了75%,其中绝大多数安全事件要归咎于人为失误,而非恶意的网络攻击行为。
Kroll公司介绍称,大约2,124份安全事件报告可归因于人为失误,而恶意的网络攻击事件只有292起。在人为失误导致的安全事件中,最常见的类型包括:将机密数据通过电子邮件发送给错误的收件人(447起安全事件),丢失或被盗文件(438起事件)以及将数据存储在不安全的位置(164起事件)。
医疗保健行业:最糟糕的罪魁祸首
由于人为失误造成安全事件最多的是医疗保健行业,该行业在过去一年中报告了1,214起安全事件,两年内增长了41%。其次是一般商业行业(362起),教育和儿童保健行业(354起)以及地方政府(328起)等。
这些信息主要来自信息自由(Freedom of Information,简称FOI)请求。据悉,《信息自由法案》在1966年7月4日签署成为法律,法案规定任何人都有权利通过书面请求的方式从联邦政府处获取信息,并要求政府机构公开文件。
Kroll公司负责人解释称,在GDPR正式生效之前,大多数组织并没有强制要求报告其数据泄露事件,因此虽然这些数据很有启发性,但它只是给出了英国各组织遭受的真实违规情况的一个缩影。
GDPR正式生效后,不满足合规性要求的企业将面临巨额的罚款,最终的影响是,企业不仅会面临更大的个人数据财务风险,还将面临更严峻的声誉风险。
有效的网络安全防御不仅仅与技术有关。通常而言,企业更倾向于购买最新的软件来保护自身免受黑客攻击,但却未能启动有效的数据管理流程和员工培训项目,以最大限度地降低安全风险。事实证明,大多数数据泄露事件,甚至很多网络攻击行为,都可以通过减少人为失误或实施相对简单的安全流程来有效地阻止。
企业必须帮助用户成为最强大的“链条”,而不是最薄弱的环节。 |
这需要的不仅仅是为用户提供安全和隐私意识培训,还需要建立有效的机制来识别和防止内部数据泄露事件的发生。
想要真正地减少人为失误,增强数据安全性还需要人员、流程和技术的结合:所有这些因素必须仔细调整,以便更为有效、正确地融合在一起。要知道单靠安全性无法阻止违规行为,它还需要进行文化转变,以便将数据治理的安全意识和文化扎根于整个组织中。
除此之外,信息自由(FOI)数据还发现,未加密设备的丢失或被盗(133起)是数据泄露报告的另一个常见原因。在报告的蓄意网络事件中,未经授权的访问是最常见类型(102起),其次是恶意软件攻击(53起),网络钓鱼攻击(51起)以及勒索软件(33起)等。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】