內部來的風險:美國國鐵資料外洩的教訓
最近由美國國鐵督察長辦公室所發表的一份報告顯示,這家鐵路大眾運輸公司的一名員工在過去廿年一直在販賣乘客資料。這份資料的買主不是別人,就是美國緝毒署,他們在過去支付了該員工854,460美元。愛荷華州的資深參議員Check Grassley致信緝毒署來表達對此事件的嚴重關切。
這起資安事件最誇張的地方是這名前員工可以從1995年就開始販賣美國國鐵乘客個人身份資料這件事。也就是說,這種不當行為在廿年來從沒有任何人發現。透過這樣未經授權的販賣客戶資料,這員工收到來自緝毒署總共854,460美元。
緝毒署應該是有權免費地要求有問題的客戶資料,只要透過美國國鐵和緝毒署的聯合工作小組。也就是說,美國納稅人付錢買了應該可以免費取得的資料。事件爆發後,為了不被懲罰,該名員工選擇了退休。
這起資料外洩事件一開始是如何被確認並沒有包含在國鐵的報告中。想到員工可以在這麼長的時間內一再地進行不當行為這件事,必須問一個嚴重的問題 –有進行內部控管和稽核嗎?有實施哪些安全措施來防止此類外洩事件嗎?
調查顯示:有五分之一受訪者的外洩事件來自內部
不管是來自網路攻擊或惡意員工,資料外洩事件持續地成為世界各地的頭條新聞。趨勢科技在2014年3月對1,175位日本IT安全專家和決策者所進行的調查顯示,有233(19.8%)在2013年經歷過內部系統的資料外洩事件。換句話說,有五分之一受訪者的外洩事件來自內部。
總共有778位受訪者(近三分之二)證實曾經歷過某種形式的安全入侵事件。有28名(3.6%)補充說,被竊的資料已經在某些地方被使用或運作。這些統計數據只代表在日本的資安入侵外洩問題,但在其他地方所得到的數據即便不一樣,可能也不會差太多。資料外洩已不再是「別人的問題」。
需要整個組織的努力
我們習慣於談論來自網路犯罪份子或員工無意間造成的資料外洩事件。然而,這起事件,加上最近的日本聘僱人員使用智慧型手機造成的資料外洩事件,都充分顯示了惡意內部人員所造成的威脅有多麼巨大。
企業需要投入精力去開發安全政策和方針,並讓他們的員工都能夠瞭解。員工培訓和宣導工作都有助於防止資料外洩。這些努力也可以幫助防範員工意圖去侵害自家公司的資料。
當談到針對性攻擊時,必須假設入侵外洩事件會發生。企業現在需要在瞭解內部威脅會發生的前提下去投資安全方案。
@原文出處:Risks from Within: Learning from the Amtrak Data Breach作者:Masayoshi Someya(安全傳播者)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載