再寄送電子郵件時,以下的狀況是否似曾相識:
你是否有發生過以下的糗事?
一時不小心的錯誤操作不只當時很糗,,可能會釀成貴單位資料外洩!將信件傳送給非收件人,只因為名字很像?
當業務機密及客戶的資料外洩,會給企業帶來致命的傷害。本文將介紹因為「手機/筆電/隨身碟等裝置遺失」、「誤發電子郵件」、「內部非法盜用資料」所導致的企業資料外洩,以及員工應採取的對策。
聽到企業的資料外洩時,是不是會聯想到源於網路攻擊的惡意入侵等外部因素呢?但其實員工疏失、非法行為等內部因素所占的比例更大。
根據日本網路安全協會(JNSA)公布的「2018年資訊資安事件調查報告書」,企業內發生資料外洩的原因有7成以上為內部因素。其中最多的是「遺失、遺忘」占整體的26.2%,接著是「不當操作」占24.6%。還有「內部犯罪、內部非法行為(2.9%)」、「將資訊非法帶出(2.3%)」等非法行為。接著讓我們分別探究其發生的原因。
繼續閱讀無論是任何行業或規模大小,所有企業與組織都處於網路攻擊的威脅之下。網路攻擊所導致病毒感染及資訊外洩等危害,有時是因為公司員工無心的行為所導致,為了保護工作單位及客戶遠離網路攻擊。為您介紹員工應掌握的資安基本知識。
企業與組織的網路攻擊威脅
目標式攻擊的起點,從員工收到郵件時開始
公司員工業務上的服務帳號被盯上
慎重使用社群網站
企業與組織的網路攻擊威脅資安漏洞隨時可能突然竄出,此時,任何仰賴資訊科技來營運的企業都可能陷入危險。當漏洞發生時,就是歹徒入侵企業系統、從事不法活動的最佳時機:從資料竊取、資訊外洩到各種其他風險。因此,漏洞可說是今日最令企業頭痛的一項問題。
根據最新資料顯示,有越來越多的漏洞不斷被挖掘出來:
• 根據 SecurityWeek 指出,2017 年是漏洞通報數量創新紀錄的一年。整體上,該年總共發現了 20,000 多個資安漏洞,較前一年增加 30%。儘管這數據可能有多種不同解讀方式,例如:資安風險正不斷升高,或是企業軟體使用者通報漏洞的情況更加頻繁。然而,這麼高的平台漏洞增加幅度,確實令人擔憂。
• 儘管 2018 年的數據還在統計,但根據 RiskBased Security 的一項報告,截至去年 8 月為止,已通報的漏洞數量已經超過 10,000 個,其中包括 3,000 個很可能許多企業都還尚未修補的漏洞。
RiskBased Security 表示:「這些已通報漏洞的嚴重性依然很高,企業必須隨時保持警戒,並建立一套完整的軟體漏洞評估與管理計畫。」
儘管企業越來越難抵擋漏洞不斷增加的浪潮 (尤其是零時差漏洞),但還是可以採取一些關鍵的策略來提升自身安全。
在我們深入探討這些策略之前,我們應先來看看漏洞的實際運作,了解歹徒如何利用這些軟體漏洞。
繼續閱讀趨勢科技和波耐蒙研究所 (Ponemon Institute) 合作,制定出新的網路風險指數 (
Cyber Risk Index- CRI),以協助資訊安全長(CISO)及其 IT 安全團隊,更清楚了解相較於同規模和同產業的其他類似企業,自身目前的網路風險程度。這項 CRI 指數是根據波耐蒙研究所進行的問卷調查,調查對象為美國小型、中型到大型企業中的一千多位 IT 專家,並著眼於兩個面向:各組織保護其資料和系統之能力程度,以及目前針對組織攻擊的各種威脅。我們的計畫是每六個月彙整一次 CRI,以取得趨勢資料,檢查 CRI 是否隨時間改善。
CRI 採用 -10 到 +10 的分數量表,-10 代表風險最高,+10 則代表風險最低。結果顯示整體而言,企業的網路威脅風險升高,分數為 -0.15。我們還根據公司規模細分結果,資料顯示小型企業承受較高風險,分數為 -0.59。
好消息是大型企業公司的表現落在中度風險指數等級。依據產業細分結果時,對於問卷調查回應足夠,得以取得良好統計平均數值的產業,皆顯示出升高的風險等級,而服務業、公部門、零售業、醫療與製藥產業的相關風險最高。
以下根據所有受訪者的調查回應,列出一些值得關注的結果。
網路攻擊很可能發生
接下來的 12 個月中,客戶資料洩漏的可能性:
新的一年一開始就出現了關於超過20億筆來自過去多年資料外洩事件的大規模使用者帳密資料流出的報告。這份資料(稱為「Collection #1」)包括了純文字格式的使用者帳密及敏感文件,全部為87GB。據報在12月的最後一周就可以下載,在駭客論壇上被積極地交流著。某些報告指出將會有更多資料包在網路上公布和販賣,每份都有比第一份更多的個人帳密和敏感資料。Collection #1已經被拿掉,但對許多資料被流出的人來說,造成的影響才正要開始。
[延伸閱讀:資料外洩101:它如何發生,被偷了什麼及會流到哪裡去]
Collection #1包含了超過7億筆不重複的電子郵件地址和超過2,100萬筆的明文密碼。有了這些資料,線上惡意活動可能會跨界成線下的犯罪活動。如果使用者在不同網站使用了相同帳密,那Collection #1將會造成很大的傷害。從社交工程social engineering )攻擊(如網路釣魚(Phishing)和詐騙)到身份竊盜和勒索郵件,個人甚至於企業的損失都會呈等比級數增加。發生資料外洩事件的企業不僅可能因GDPR或其他法規而被罰款,還可能會失去客戶的信任、收益和商譽。個人也會成為詐騙和網路攻擊的目標,且因為不安全感而讓自己在網路上的活動受限。
現在越來越多的新科技讓人們可以無時無刻的保持連線,也因此製造了大量的數位足跡和資料儲存,網路犯罪分子的攻擊媒介也在增加。這代表使用者和企業都必須優先考慮網路隱私和資料安全。
[延伸閱讀:2018年的三大資安故事]
企業的積極保護措施
企業仍是網路犯罪份子想獲取最大利潤的首選目標。一次成功的企業系統入侵事件就讓駭客有可能存取到資料的寶庫:內部伺服器、專有資料、公司資產、第三方供應商和客戶記錄。以下是企業保護資料及使用者和客戶隱私的六個做法和原則:
繼續閱讀