資料外洩一直是企業必須面對的一項風險。一位不滿的員工,或者單純的檔案櫃沒有上鎖,就能造成敏感資料外洩,導致高昂的財務、信譽與法律損失。
IT 不斷演化的結果為網路犯罪者帶來許許多多的攻擊管道
儘管如此,隨著 IT 逐漸成為企業各單位的營運核心,這類事件發生的頻率和嚴重程度只會不斷擴大。現在,光是利用網站平台的一個小小漏洞 (如 Adobe Flash),駭客就能取得寶貴的資訊,掌握登入資訊,或者找出供應鏈上的弱點。近年來的一些大型資料外洩事件包括:
- 美國 Target 連鎖超市的銷售櫃台系統 (POS) 去年冬天遭網路犯罪者透過一位維護 Target 基礎架構的 HVAC 承包商的人員入侵。
- 2012 年 LinkedIn 社群網站因網路遭駭客入侵而洩漏超過 6 百萬筆未使用加料雜湊值的密碼 (Unsulted Password)。
- 可口可樂 (Coca-Cola) 因多部筆記型電腦失竊而遭到突襲,導致 74,000 多筆現職與離職員工資料外洩。
上述資料外洩事件的原因,從 PC 實體安全措施不足到企業網路弱點不等,顯示今日科技化企業在防範攻擊方面所面臨的挑戰涵蓋範圍廣泛。除此之外,雲端運算正逐漸融入 IT 系統當中,使得網路安全工作變得更加複雜,即使雲端現已增加了新的功能來減少 IT 流程與成本,情況依然相同。
根據 IDC 估計,未來六年雲端相關技術將占網際網路及通訊資產支出的 90%。儘管雲端正快速崛起,但它仍舊是多數企業最頭痛的安全問題。
雲端如何導致資料外洩
為何雲端和資料外洩的風險息息相關?基本上,使用某種雲端服務,不論是偏向消費導向 (如 Dropbox) 或是屬於專業人士工具 (如 Adobe Creative Cloud) 或者是企業自動化平台,IT 部門至少必須將一部分的掌控權交給第三方供應商。
JumpCloud 共同創辦人 Rajat Bhargava 告訴紐約時報記者:「毫無爭議地,當您不擁有該網路時,基本上就等於對外開放,而且您無法掌控其軟體。基本上,相較於將資料儲存在企業內部,雲端就是較不安全。」
企業的安全也越來越受制於員工,因為員工會使用一些普遍缺乏安全機制的雲端應用程式與工作流程,進而危及企業敏感資料。例如,2014 年 Ponemon Institute 研究機構發表的「雲端加密趨勢」(Trends in Cloud Encryption) 研究報告指出,雖然幾乎所有受訪者都計劃將公司資訊移轉到雲端,但他們的作法卻很隨便:
- 59% 的受訪者表示他們在基礎架構服務 (IaaS) 和平台服務 (PaaS) 上存放的資料皆未經過加密。同樣的數字對軟體服務 (SaaS) 而言則是 45%。
- 26% 的 IaaS/PaaS 資料與 39% 的 SaaS 資料已經過加密,其他資料安全機制則分別涵蓋 15% 與 16% 的應用程式資訊。
- 19% 的受訪者視 SaaS 安全為客戶和供應商的共同責任。此數字在 IaaS/PaaS 方面則有所不同,僅有 22% 認為供應商須負起完全的責任,這類雲端的安全 (如果稱得上安全的話) 基本上還是靠使用者自己來保障。
如同該機構的研究發現,當企業必須承擔雲端安全的責任時,許多企業做的並不夠。未加密的資料根本就是招人覬覦,一旦失竊,資料便立即可用。想到這點,就不難理解為何雲端能大幅提高動輒數百萬美元的大型資料外洩事件發生風險。
使用雲端可能提高大型資料外洩的發生機率
Ponemon Institute 另一份由 Netskope 贊助的報告提出了一項所謂的「雲端加乘效應」,隨著企業使用越來越多的雲端服務,企業暴露在資安事件的風險就越高。基本上,每增加 1% 的雲端服務,資料外洩的機率就上升 3%。
Netskope 創辦人暨執行長 Sanjay Beri 指出:「想像一下,若資料外洩的機率會因為您使用雲端而增加三倍的話,這就是企業 IT 人員將面臨的挑戰,而他們也開始意識到自己必須調整安全措施來因應。」 繼續閱讀
