近年来数据泄露和隐私事故越来越普遍,而且代价高昂。Risk Based Security 的一项研究发现,数据泄露比去年同期上升了 54% 以上。同时,IBM 的年度数据泄露成本报现,数据泄露的平均总成本接近 400 万美元。
12 月 20 日,全国法工委在记者会上宣布个人信息保、数据安全法将列入 2020 年立法工作计划,拉开了数据安全战的序幕。
为了帮助企业为日益增长的确定性风险做好准备,以下安全牛总结了企业 2020 年可能面临的 20 种数据安全风险。
通常,人们总是将数据泄露和隐私事故与黑客联系起来,是黑客们利用隐秘的漏洞来窃取信息。但是,出乎很多人的意料,我们最大的敌人似乎不是黑客,而是人员疏忽。数据泄露事故常常是疏忽和意外造成的,例如你的员工机场上了一个假热点,不小心把含有信息的邮件 CC 给了陌生人,离开时又遗失了未加密的笔记本电脑。
Shred-it 的一项研究发现,40% 的高级管理人员和小企业主表示,疏忽和意外损失是他们最近一次安全事件的主要原因。
黑客只需要正确一次就足以突破企业的防线,造成严重损失,而 IT 管理员则必须全力抵抗持续不断的,不容有失,压力之大可想而知。这可能就是为什么近 2/3 的网络安全专家已考虑辞职或完全离开该行业的原因。
这种流失以及员工过度劳累不可避免产生效率下降和失误,使公司容易受到数据安全或隐私事故的影响。
现任和前任雇员盗窃公司数据的情况非常普遍,国内的案例暂且不表,国外的典型是信用合作社Desjardins ,2019年6月,一名前员工偷走了Desjardins近300万客户的个人数据,这成为该国历史上最大的数据灾难之一。
卡巴斯基在 2019 年发布的《 IT安全经济学》报告(安全牛网站下载地址)显示,大企业和中小型企业涉及第三方供应商(服务和产品)的数据泄露事件发生率分别为 43% 和 38%。根据 One Identity 的调查,大多数组织 (94%) 授予第三方访问其网络的权限,而 72% 的组织授予访问权限。但是,只有 22% 的人确信第三方没有访问未授权信息,而 18% 的人报告说由于第三方的访问造成了违规。
卡巴斯基的研究表明,75% 的中小企业和 79% 的大企业都在第三方供应商签署安全策略协议,在第三方对违规行为负责时,是否有协议的赔偿结果会有很大不同。在已制定政策的企业中,有 71% 的企业表示已获得补偿,而没有第三方政策的企业中只有22%的企业获得了补偿。
数字通信是我们日常生活中无处不在的一部分,对于努力客户隐私的公司而言,数字通信的漏洞和风险无处不在(包括微信、QQ 等社交通讯和个人网盘等文件分享和协作工具)。
微软的一项分析发现,网络钓鱼诈骗今年增长了 250%。而且,这些技术正在变得越来越复杂,这使它们既难以识别,成功率不断提升。被钓鱼邮件突破的单个员工就可能会泄露大量公司数据。
网络钓鱼活动令人讨厌,但鱼叉式网络钓鱼活动却令人恐惧。这种特定的网络钓鱼使用以前被盗的数据来格外逼真的电子邮件,难以和防御。在安全牛之前报道的,仍在进行中的 “江南工业风” APT 活动中,者使用的鱼叉式钓鱼邮件附有看上去非常专业的工厂设计报价单和图纸,已经有大量韩国化工企业和部分中国企业中招。
过去几年最知名的数据泄露 “撕票” 事件莫过于索尼影业数据泄露事件,这种惨烈的结果是很多企业不愿再看到的。如今黑客有很多方法可以从被盗数据中获利。尽管 “暗网” 提供了广阔的销售渠道,但越来越多的网络犯罪不是在网上出售数据,而是开始直接向 “失主” 收取赎金。
软件已经获得了新的生命,比去年同期增长了 500%,对企业、机构和其他组织构成了严重的数据安全风险。
与数据盗窃不同,软件(以前)并不会拿走数据,而是就地加密锁死用户数据,直到用户缴纳赎金。软件面前 “人人平等”,无论是大型行业企业还是中小企业甚至执法机构,一旦中招,恢复数据最有效的措施往往就是乖乖交钱。
2019 年,软件相关的数据恢复成本增加了一倍以上,2020 年,带有数据泄漏机制的软件将给企业带来更加高昂的数据恢复成本。数天前,最大的医疗实验室测试服务提供商 LifeLabs 发生大规模的数据泄露事故,近 1500 万人的个人和医疗信息被泄露。LifeLabs 发出安全公告承认已经向者缴纳赎金。专家认为者采用了软件+数据泄漏的双重手法,大大提高了赎金的 “征收” 力度。
在 2018 年,亚马逊调查了几名员工在贿赂计划中的角色,这些贿赂泄漏了大量公司数据。最近,有消息显示,有 AT&T 员工受贿并在公司网络上植入恶意软件,从而深入了解 AT&T 的内部工作原理。
员工不分级别不受地访问公司或客户数据是一柄双刃剑,企业应当在提高业务效率的同时最大程度地减少或机会。但是,太多的公司为员工分配了过于宽松的数据访问权限,极大地增加了将来出现安全或隐私问题的可能性。此外,企业的账户权限过大且缺乏有效监管也是企业安全目前面临的重大问题。
员工泄露公司数据的原因有很多,但是最明显的动机之一就是赚钱。Deep Secure 的一项研究发现,有 45% 的员工会考虑将公司数据出售给外部人员,而且,令人难以置信的是,这些信息经常被低价兜售。
研究发现,英国员工中有 15% 的人会以 1,260 美元的价格出售信息,而 10% 的人以 315 美元的价格出售数据。
令人难以置信的是,接近四分之一的数据泄露事件仅仅是因为 “好玩”。根据 Verizon 的 “数据泄露调查报告”,令人惊讶一个事实是,近 24% 的数据泄露事件是由于员工的无聊所致。该报现,“纯粹的乐趣” 是网络安全或隐私事件的主要原因之一。
它印证了企业员工数据安全意识的极度淡漠,这种态度在许多组织中普遍存在,从整体上讲,这种将持续到明年。
数量惊人的员工愿意窃取公司数据以在就业市场上获得优势。例如,加拿大28预测苹果公司秘密汽车项目的两名前苹果员工在窃取了与该项目有关的 2000 多个文件后,被控盗窃数据。无论员工是在知识产权、客户数据还是其他有价值的信息,都可以在竞争激烈的就业市场中脱颖而出,这给 2020 年运营的公司带来了数据安全风险。
新闻报道上看到的往往都是大公司的数据泄漏事故,但事实是中小型企业最容易受到网络,而不幸的是,中小企业高管往往最不可能优先考虑网络安全计划。Keep Security 进行的一项研究发现,有 66% 的中小型企业不相信会造成数据泄露,这与 Ponemon Institute 的相反,后者发现 67% 的中小型企业在去年遭受了严重。
通常,数据泄露或隐私只是越来越多的网络犯罪中的 “第一滴血”。Risk Based Security 的一份报现,电子邮件地址和密码是在线数据中最受欢迎的,在所有数据泄露事件中有 70% 包含电子邮件地址。邮件信息可以部署在其他更 “精妙” 的网络中,成为安全事件连锁反应的导火索。
组织的创始人和高级管理层往往能够不受地访问公司数据,这不是问题,但当他们决定离开公司或退出时,他们的 “不爽” 就会成为一个大问题。
谷歌的一项研究发现,互联网上使用的所有登录凭证中有 1.5% 容易受到凭证填充,这些会遍历以前被盗的账户信息,从而进一步损害公司的 IT 基础架构。
有趣的是,员工在得知信息泄露风险后依然不愿更改或改进这些密码。不能贯彻实施最佳密码管理实践,会使企业在现在和未来一年面临巨大风险。
很多时候,黑客仅仅是为了在圈子里炫耀的资本。7 月,信用卡公司 Capital One 遭受了一次漏洞的,遭受了泄露 1 亿条记录的数据泄露。但者的目的却不是为了钱,这名黑客一直在寻求提升自己在各种社区吹牛的资本。
对于某些黑客人而言,数据盗窃的目的与数据本身价值无关,而是与他们自己的声有关,这对于努力客户数字隐私的企业来说是一个挠头的问题。
当今的数字防不胜防。安全和隐私事件的频发打击了很多企业的信心,太多公司选择听天由命,而不是抓住机会加强防御能力。
消极抵抗、甚至放弃抵抗可能是所有漏洞中最严重的漏洞。企业没有采取任何行动,而不是控制可控因素,解决风险问题并实施确保整体数据安全性的安全策略。