報告：相較「接收」，「傳送」電郵安全威脅被嚴重忽視

根據Zivver發布最新的電子郵件安全調查報告顯示，電子郵件安全面臨著嚴峻的挑戰。這份調查訪問美國、英國、荷蘭、法國、德國和比利時等國家的400名IT決策者和2,000名員工，高達93%的員工認為電子郵件對其日常工作「重要」或「非常重要」，其中絕大多數認為是「非常重要」。這凸顯了電子郵件作為現代企業通訊骨幹的關鍵地位。然而，這個不可或缺的工具可能同時也是組織最大的安全弱點。

調查發現，IT領導者在電子郵件安全投資上存在明顯的失衡。近半數的IT領導者將釣魚等入站(inbound emails) 威脅列為首要關注，但僅有不到四成將防止人為錯誤和數據外洩列為投資重點。更值得注意的是，超過三分之二的IT領導者承認出站(outbound emails)安全威脅未獲得應有的重視，且員工的無心之失造成的數據外洩，實際上比惡意社交工程攻擊導致更大的損失。

在出站安全事故方面，調查顯示最常見的問題包括發送錯誤附件、寄錯收件者，以及CC或BCC欄位使用錯誤。這些錯誤往往發生在員工時間緊迫、壓力大或被大量郵件壓得喘不過氣的時候。這反映出現代工作環境中，員工面臨的壓力可能直接影響到資訊安全。

在政策執行與培訓方面，情況同樣不容樂觀。雖然接近四分之三的員工表示了解公司的電子郵件安全政策，但僅約一半的人確實遵守。培訓效果也不盡理想，超過三分之一的大型組織員工認為現有培訓無效或對培訓方式不滿意。調查顯示，員工更偏好實際情境培訓和互動式工作坊，而非傳統的例行公事式培訓。

三大關鍵建議方向

首先，企業應該投資先進的電子郵件安全解決方案。具體來說，實施AI驅動的安全平台，能夠自動識別和防範複雜的釣魚攻擊、魚叉式釣魚，以及零時差威脅。同時，部署即時錯誤預防工具，在郵件發送前就能識別潛在的錯誤，如地址錯誤或附件不當，從源頭預防數據外洩。

其次，加強認證和加密機制至關重要。企業需要升級到如DMARC和DANE等進階安全標準，確保郵件能安全地傳送到正確的伺服器。同時實施零信任加密策略，讓員工能輕鬆地對敏感郵件進行加密，防止資料被截獲或未經授權訪問，確保即使是供應商也無法接觸到敏感信息。

DMARC是一種電子郵件驗證協議，它能幫助組織保護其網域免受未經授權的使用，特別是防止電子郵件詐騙和網域偽冒。而DANE則是一種基於DNS的實體認證機制，通過確保郵件被傳送到正確的伺服器來提升傳輸安全性。

第三，建立全面的數據洩露防護體系。這包括實施自動化的敏感資料分類系統，持續監控出站郵件是否存在潛在的數據外洩風險，必要時可以隔離或阻止有風險的通訊。同時，需要清晰定義並嚴格執行電郵安全政策，確保員工充分理解合規的重要性和處理敏感信息的程序。

值得注意的是，超過三分之二的IT領導者認為，安全供應商的創新速度趕不上新興風險的發展，這為市場留下了重要的發展空間。隨著各種法規如NIS2、GDPR、CCPA等的實施，以及行業特定規範如HIPAA的要求，企業必須重新審視其電子郵件安全策略。

展望未來，企業需要採取更全面的安全方案，將自動化工具、智慧控制和完善的監管機制相結合，確保電子郵件在保持其重要通訊功能的同時，不會成為企業安全的致命弱點。