分類: 資料外洩/個資外洩

摩根大通及其他金融機構成為了一起持續多年的網路攻擊活動受害者，(請參考: 美國最大銀行摩根大通被駭，8千多萬家庭及企業資料遭竊取)如果說這駭人聽聞的消息能夠教導我們什麼，那就是全國最大的金融機構在面對駭客攻擊時也還是非常脆弱。這一波有近1億筆的客戶資料被竊，而美國各地和其他地方的金融機構都無疑地會想知道自己是否會成為下一個。這並不令人驚訝，因為金融機構所擁有的資料類型恰恰是駭客所想要的目標。

但你可能會很驚訝地發現，它們並非美國最常被攻擊的產業。事實上，根據趨勢科技的最新研究發現，它只佔過去十年來有記錄資料外洩事件的10%，。而且當談到身分竊盜，它甚至並非前三名。

有關資料外洩的真相

為了要揭開過去十年來資料外洩趨勢的真相，趨勢科技分析了非營利隱私權資訊交流中心從2005至2015年的數據，做出了兩份互相搭配的「跟著資料走」報告。對這段時間區間進行深入地研究，讓我們能夠準確地去演繹其模式和趨勢。我們發現零售業是到目前為止被攻擊得最慘的產業，佔這段時間內資料外洩事件的47.8%左右。金融業遠遠落在其後，以10.2%排在第二，再來是醫療保健（5.5%）。

事實上，根據趨勢科技的分析顯示，類似於政府機構，金融業有著一個很明顯的模式，資料外洩事件會在某年突然出現高峰（2006年，2010年）之後接著數年下降。這些年資料外洩事件數量的下降可能是因為產業會因為重大事件而實施新的政策、協議和程序。

10%仍然是資料外洩相當大的數目，而且我們也必須要記住，這僅僅是對有記錄事件的分析 – 可能有更多是我們所不知道的。這些機構會儲存的資料類型通常都是駭客所高度關注的。可以快速而方便地貨幣化 – 通常會利用偽造信用卡、支付帳單詐騙和從受害者銀行帳戶轉出。此外，跟其他產業的攻擊者會有一兩個特別青睞的資料外洩方式不一樣，遺失或被竊，駭客或惡意軟體，內部威脅和無意洩漏等事件在這十年來相當均勻地分佈著。但是，或許是因為新政策和程序所發揮的積極效果，遺失或被竊事件持續下降，但是駭客攻擊，惡意軟體和內部威脅卻在增加。 繼續閱讀

如果對網路安全掉以輕心，最終可能會付出更加昂貴的代價。在Target資料外洩一例中，資訊長Beth Jacobs在三個月後就被迫辭職。

隨便瀏覽一下過去幾年的新聞頭條，可能會覺得資料外洩事件幾乎都發生在零售業。似乎從2013年12月發生一起重大事件 – 駭客竊取了7000萬筆的Target資料外洩客戶資料之後，攻擊就如同滾雪球一般越來越多，直到現在。但這並不完全是故事的全部。

最新的趨勢科技研究告訴了我們，雖然零售業是金融卡片資料外洩事件最大的受害者，但整體來說，醫療保健、教育和政府部門在過去十年間發生更多起事件。如果我們想要阻止壞蛋們，就必須仔細地研究一下原因。

繼續閱讀

看到有關資料外洩事件的最新消息，抱持一定程度的質疑相當重要。因為，這類重大新聞固然吸睛，但不一定能呈現事情的全貌。反之，歷經十年時間所蒐集的數據，卻能讓我們從中找出一些重要脈絡，分辨事實和迷思，釐清到底是誰在竊取我們的資料，以及背後的動機。

這就是趨勢科技最新一份報告的作法：跟著資料循線追查：解構資料外洩事件及破除迷思 (Follow the Data: Dissecting Data Breaches and Debunking Myths)，這份報告是根據美國民間公益團體 Privacy Rights Clearinghouse (隱私權情報交換所，簡稱 PRC) 於 2005 至 2015 年間所蒐集的公開揭露資料分析撰寫而成。我們希望趨勢科技的客戶在掌握這份資訊之後能更懂得如何防範資料外洩。

內賊和外賊

主流媒體上所播報的網路攻擊與資料外洩事件，大多將焦點放在駭客、惡意程式作者、暗中活動的國家級駭客，以及到處肆虐的網路犯罪集團。但這並非全貌。過去十年來，資料外洩的原因還包括：

繼續閱讀