沒有人知道未來會出現什麼,但我可以很有把握的說,2014將被稱為「資料外洩的一年」。不過除了相互指責、推卸責任及無可避免的媒體報導外,還可以看到另一個有趣的現象:幾間被駭的公司在當時都沒有資訊安全長(CISO)。
沒有辦法可以保證你不會出現在2015年的資料外洩事件頭條上,但有個專職的網路安全專家來直接向董事會報告已經成為認真看待安全防護的組織所必不可少的事情。對於仍然缺乏此一職位的公司來說,現在就該採取行動,在2015年過去之前。
代價高昂的錯誤
現實是今日我們所要面對的不再只是待在自己家裡開發惡意程式的壞份子 — 網路犯罪有組織、資源充足並且反應迅速。黑帽駭客知道我們的弱點,準備充分地去利用任何安全間隙,好竊取我們最敏感的資料 — 無論是客戶的個人識別資訊或敏感的智慧財產。
在過去一年,有許多成功的外洩事件利用複雜的針對性攻擊技術來感染零售商的端點銷售(PoS)系統,使用著新「記憶體擷取程式」變種,像是Soraya和Backoff。令人沮喪的是,許多外洩事件是可以避免的。
想想可能產生的龐大損失,組織應該要盡可能地去降低風險 — 透過專門的資訊安全長來集中運作。
Ponemon Institute的最新資料顯示,在2014年發生資料外洩事件的平均成本為350萬美元,比前一年高出15%。而且不只是這些公司們所必須面對的可能產業或監管機構罰款、法律訴訟、甚至是調查和補救處理的費用。更令人擔心的是潛在負面消息會迫使客戶切換到競爭對手,而且對名聲的打擊也會影響到股票價格。
輸入資訊安全長
在其報告中,Ponemon指出資訊安全長是除了事件回應和危機管理計畫等之外的重要預防措施。資訊安全長可以幫助識別資訊安全風險所在,並向董事會闡明以使它們了解,好讓關鍵投資可以順利進行。
零售商Target一直都缺少資訊安全長,一直到最近這起事件發生,他們也被建議如此做。在2013年的資料外洩事件是該產業有史以來最嚴重的一次,超過4000萬筆卡號和7000萬筆客戶記錄外洩。該公司現在已經委派了資訊安全長,但代價是什麼?
下面是一些發生資料外洩事件卻沒有資訊安全長的主要組織:
- 出人意料的,當駭客成功入侵其系統時,摩根大通缺乏全職的資訊安全長,超過7600萬個用戶和700萬個小型企業可能洩漏其敏感資料。
- Sony在2011年遭受破壞性攻擊後才聘請第一任的資訊安全長,那時受到外洩影響的有超過7000萬筆PlayStation網路帳號內的個人敏感資料。根據報導,最近一次遭受「Guardians of Peace」攻擊是發生在其資訊安全長轉換期間。
- Heartland Payment System在2009年發生資料外洩事件,影響了約1億張卡片。再一次地,當時並沒有資訊安全長負責。
- TJX在2007年發生在當時同業中最大規模的資料外洩事件,影響了約9400萬張卡片。
@原文出處:Don’t Be a Data Breach Victim: Appoint a CISO Before It’s Too Late作者:JD Sherry(技術和解決方案副總)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚