https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

駭客攻擊與人為疏失並列企業資料外洩主因

2012 / 10 / 18
本篇文章內容由廠商提供,不代表資安人科技網觀點
駭客攻擊與人為疏失並列企業資料外洩主因

賽門鐵克報告突顯資安防護需由內而外的全面管理

 

全球安全、儲存與系統管理解決方案領導廠商賽門鐵克(Nasdaq: SYMC)最新網路安全報告顯示,「駭客攻擊」、「內部人員疏失」和「資料遺失」是企業資料外洩的主要原因,其中,「內部人員疏失」和「資料遺失」等內部人為因素與「駭客攻擊」等外部攻擊的比例相當。這突顯了資訊安全防護是一項全面性的管理,須包含主機安全防護、資料加密、資料外洩防護、日誌管理,以至全面的裝置管理和資安政策教育,都要面面俱到。

 

新版個資法已於101日正式生效,但仍有許多企業不了解施行細則的意義,或是對資訊安全防護措施是否完備充滿疑惑。今天賽門鐵克提供資料安全防護教戰守則,從法律面探討新版個資法為企業帶來的挑戰,並針對尚未著手因應個資法施行的企業,將資料外洩的威脅分成一般員工、企業間諜、外部駭客等三個層面一一剖析,再從資料安全、個資盤點、設備安全及資料稽核四個方向,為資安防護準備提出最迅速有效的管理方式。

 

資安防護是全面性的安全管理,抵禦入侵與內部防禦同等重要

調查顯示,自20121月到8月期間的資料外洩案件數來看,大約有四成(40.6%)是駭客攻擊的結果,近幾年駭客猖獗,這樣的結論毫不令人意外。然而,另一個引人注目的發現是「內部人為疏失」造成的資料外洩案件也佔了四成多(48.2%)的比例,包含了內部人員疏失(21.4%)、資料遺失遭竊(18.8%)及蓄意偷取資料(8%)。究其真實狀況,包括行動裝置遺失、經由外接儲存裝置造成的資料外洩、企業內部間諜、因訪客與廠商造成的資料外洩,以及資訊安全教育的不足等等。這結論反映了資訊安全防護是一項全面性的管理,抵禦入侵與內部防禦同等重要。

 

擁有高敏感個資的產業最易成為駭客目標

根據去年(2011)的調查結果,每10筆遭外洩的資料就有8筆是來自資訊科技及電腦軟體產業;但今年的調查結果顯示,資料外洩數量的前兩名已被零售業(40%)及電信業者(15%)取代。

 

然而,如從資料外洩事件的次數的角度檢視,卻無法反映外洩資料規模與資料外洩事件的頻率有正比關係。例如,下圖中醫療產業遭外洩的資料數量僅占總外洩資料筆數的2.7%,但該產業的資料外洩事件數量卻不成比例-若以資料外洩次數來看,醫療產業發生資料外洩案件最為頻繁,佔事件總數的34.1%。醫療紀錄屬於高度敏感資料,這個例子說明,頻繁的攻擊次數雖未造成大量的資料外洩,卻讓較少量的高敏感個資曝光,正好說明了資料外洩的數量無法正確反映外洩資料的敏感性。

 

 

企業應提防小而準的資料外洩事件

總的來說,資料外洩事件數量雖無太大的改變(2011年每月平均16.5次,2012年下降到14次),然而,資料外洩事件的平均資料外洩筆數卻大幅減半:去年(2011)5月至12月間單次資料外洩事件導致的資料外洩筆數平均超過131萬筆,而今年卻大幅降低至約64萬筆。究其原因,可能由於2011年的大型惡意網路攻擊影響,讓越來越多的大型企業開始重視客戶紀錄資料庫的保護,但也有可能是因為駭客不再只是鎖定大型企業,轉而瞄準較有價值的資料儲存處出手。這顯示了若要遏止資料外洩,企業採取的措施還不夠。