数据泄漏事件总是成为行业媒体的头条新闻,但现实是企业更有可能成为内部人员行为的受害者。事实证明,多达60%的攻击都是由企业内部人员实施的,无论是有意还是无意的。
数据泄漏成本高昂
如果一家企业成为受害者,那么可能会付出很高的代价,例如公司的声誉可能会受损,客户可能不再愿意提供敏感信息。即使弥补和修复也可能需要付出沉重的代价。
根据调研机构波洛蒙研究所进行的一项研究,每一份包含机密或专有信息被盗记录的平均成本是148美元。这其中包括发现违规行为和修复损坏的硬性成本,例如必须向每个记录持有者发送通知。
根据Sarbanes-Oxley法案、PCI-DSS,HIPAA或GDPR等合规性规定,企业未能充分保护数据可能还将遭到经济处罚。
攻击者如何进入?
通常是坏人做坏事。但情况并非总是如此。
据调查,医疗保健行业58%的数据泄漏事件都涉及内部参与者,其中包括窃取笔记本电脑以获取访问凭证、恶意软件安装和窃取机密数据。这些都是明显的恶意行为。
在其他时候,宽松的安全协议会导致问题。美国国家安全局(NSA)有史以来最严重的数据泄露行为是内部员工造成的,当时一名承包商在没有遵守安全程序的情况下将机密文件带回家。
企业工作中最危险的部分之一可能无法检测到内部违规行为。因为员工有权访问大量信息,并且没有任何警告。问题在于他们如何处理数据,如果他们怀有恶意,则可能会越过检测或掩盖事实。
然而,那些没有认真对待安全的员工是企业面临的最大风险。
无意中泄露数据
事实上,大多数泄露数据行为都是无辜的。通过单击欺骗性电子邮件或其他网络钓鱼攻击,企业的团队成员可能允许安装恶意软件。例如,需要更新防病毒软件消息就可能会导致放弃登录凭据。
美国癌症治疗中心在过去一年中遭受过两次重大的网络攻击。当员工点击网络钓鱼邮件并放弃登录凭据时,导致42,000名患者的数据泄露。
在另一个案例中,eBay网站的1.45亿用户的个人信息和密码泄露。调查人员最终发现三名员工实施泄露数据的行为,从数据泄露到发现已过去200多天。这种事例并不罕见。80%的泄露数据行为在数周内未被发现。识别和确定泄露数据行为的平均时间为197天。这意味着黑客平均有半年以上的时间访问侵入的服务器。
企业的网络安全中也有两个不断增长的趋势:BYOD(自携设备)和影子IT(Shadow IT)。
自携设备
企业员工比以往任何时候都更多地将业务和个人设备混合在一起使用。员工在手机上访问公司信息,并会绕过公司采取的安全措施。或者采用家用电脑处理和存储机密信息,或者员工在家中登录公司IT系统或访问数据,这些都带来更多的威胁。
使问题更加复杂的是,下载到个人设备的应用程序本质上可能是恶意的。安全合规机构Cimcor公司指出,“在某些情况下,恶意应用程序有可能控制用户的移动设备。这可能导致监视、数据泄露或大幅增加通话费用,个人信息或工作信息的丢失。企业的用户需要有关应用最佳实践的培训。这种基于知识的培训应该包括只从应用商店下载内容的重要性。在许多情况下,恶意镜像或个人应用程序是通过网页下载的。”
人们可能听说过,员工可能是企业安全最薄弱的环节。无论企业在工作场所设置了哪些安全系统和程序,其数据和IT系统都可能会被员工或计算机上的某些内容所破坏。
影子IT
有些员工还绕过安全协议,并使用他们认为需要的软件或应用程序来完成工作。
虽然具有良好的意图,但这种所谓的“影子IT”可以侵入企业的网络和系统而避开安全专业人员的适当审查。这些应用在安装之前缺乏质量保证测试,可能会导致企业的IT团队无法了解其风险。
这比人们想象的还要普遍。Everest Group的研究发现,超过50%的IT支出没有经过批准的IT流程。,但是当包含基于云计算的销售软件、部门特定应用程序或个人设备等内容时,这个比例可能很高。
这意味着企业无论采取何种策略,其IT生态系统的主要部分都可能无法得到保护。
那么,如何在保持员工工作组生产力的同时,企业如何处理影子IT?首先,教育员工了解IT出错的影响,并最终导致IT团队与组织内部工作人员之间的公开对话。
例如,如果销售人员正在考虑使用新的自动化工具,他们应该与IT部门就如何将工具实施到其安全结构中进行开放式沟通,以确保企业或客户数据不会受到威胁。解决方案可能是在内部构建工具或在系统之间开发集成以实现相同的目标,而无需使用可能产生安全漏洞的第三方工具。
正如Soliant咨询公司高级解决方案架构师Aubrey Spath所说,“在某些情况下,IT团队意识到特定工作组的挑战,并且正在积极尝试找到解决这些问题的应用程序。而不是鼓励和支持他们将由业余开发人员开发和销售的劣质工具拼凑在一起,企业需要考虑为他们的需求构建定制解决方案。“
安全治理的实际步骤
企业首席执行官或高级经理需要确保其IT领导者遵循网络安全和安全协议:
1.安全治理
(1)信息安全(IS)治理,用于制定政策,优先事项和缓解措施。
(2)对数据进行划分,以便只有作为其工作职责一部分需要访问权限的员工才能实际访问。
2.符合行业特定的合规性规定
(3)测试。
(4)分配监督职责。
(5)正在进行的风险/威胁评估。
3.管理团队成员
(6)团队成员对硬件和软件的具体政策。
(7)威胁意识和检测培训。
(8)定期合规审计。
随着网络罪犯技术的发展,威胁变得越来越复杂。企业需要确保其IT主管不断学习和发展他们的技能,这一点至关重要。
IT/IS政策的战略方法
企业采用IT/IS政策的战略方法可以缓解风险,并有助于保护企业的业务。