2018年09月26日
根據風險緩解和調查服務公司Kroll的最新分析數據顯示,英國信息委員會(ICO)收到的數據安全事件報告數量在過去兩年中飆升了75%,其中絕大多數安全事件要歸咎于人為失誤,而非惡意的網絡攻擊行為。
Kroll公司介紹稱,大約2,124份安全事件報告可歸因于人為失誤,而惡意的網絡攻擊事件只有292起。在人為失誤導致的安全事件中,最常見的類型包括:將機密數據通過電子郵件發送給錯誤的收件人(447起安全事件),丟失或被盜文件(438起事件)以及將數據存儲在不安全的位置(164起事件)。
醫療保健行業:最糟糕的罪魁禍首
由于人為失誤造成安全事件最多的是醫療保健行業,該行業在過去一年中報告了1,214起安全事件,兩年內增長了41%。其次是一般商業行業(362起),教育和兒童保健行業(354起)以及地方政府(328起)等。
這些信息主要來自信息自由(Freedom of Information,簡稱FOI)請求。據悉,《信息自由法案》在1966年7月4日簽署成為法律,法案規定任何人都有權利通過書面請求的方式從聯邦政府處獲取信息,并要求政府機構公開文件。
Kroll公司負責人解釋稱,在GDPR正式生效之前,大多數組織并沒有強制要求報告其數據泄露事件,因此雖然這些數據很有啟發性,但它只是給出了英國各組織遭受的真實違規情況的一個縮影。
GDPR正式生效后,不滿足合規性要求的企業將面臨巨額的罰款,最終的影響是,企業不僅會面臨更大的個人數據財務風險,還將面臨更嚴峻的聲譽風險。
有效的網絡安全防御不僅僅與技術有關。通常而言,企業更傾向于購買最新的軟件來保護自身免受黑客攻擊,但卻未能啟動有效的數據管理流程和員工培訓項目,以最大限度地降低安全風險。事實證明,大多數數據泄露事件,甚至很多網絡攻擊行為,都可以通過減少人為失誤或實施相對簡單的安全流程來有效地阻止。
企業必須幫助用戶成為最強大的“鏈條”,而不是最薄弱的環節。 |
這需要的不僅僅是為用戶提供安全和隱私意識培訓,還需要建立有效的機制來識別和防止內部數據泄露事件的發生。
想要真正地減少人為失誤,增強數據安全性還需要人員、流程和技術的結合:所有這些因素必須仔細調整,以便更為有效、正確地融合在一起。要知道單靠安全性無法阻止違規行為,它還需要進行文化轉變,以便將數據治理的安全意識和文化扎根于整個組織中。
除此之外,信息自由(FOI)數據還發現,未加密設備的丟失或被盜(133起)是數據泄露報告的另一個常見原因。在報告的蓄意網絡事件中,未經授權的訪問是最常見類型(102起),其次是惡意軟件攻擊(53起),網絡釣魚攻擊(51起)以及勒索軟件(33起)等。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。