賽門鐵克報告突顯資安防護需由內而外的全面管理
全球安全、儲存與系統管理解決方案領導廠商賽門鐵克(Nasdaq: SYMC)最新網路安全報告顯示,「駭客攻擊」、「內部人員疏失」和「資料遺失」是企業資料外洩的主要原因,其中,「內部人員疏失」和「資料遺失」等內部人為因素與「駭客攻擊」等外部攻擊的比例相當。這突顯了資訊安全防護是一項全面性的管理,須包含主機安全防護、資料加密、資料外洩防護、日誌管理,以至全面的裝置管理和資安政策教育,都要面面俱到。
新版個資法已於10月1日正式生效,但仍有許多企業不了解施行細則的意義,或是對資訊安全防護措施是否完備充滿疑惑。今天賽門鐵克提供資料安全防護教戰守則,從法律面探討新版個資法為企業帶來的挑戰,並針對尚未著手因應個資法施行的企業,將資料外洩的威脅分成一般員工、企業間諜、外部駭客等三個層面一一剖析,再從資料安全、個資盤點、設備安全及資料稽核四個方向,為資安防護準備提出最迅速有效的管理方式。
資安防護是全面性的安全管理,抵禦入侵與內部防禦同等重要
調查顯示,自2012年1月到8月期間的資料外洩案件數來看,大約有四成(40.6%)是駭客攻擊的結果,近幾年駭客猖獗,這樣的結論毫不令人意外。然而,另一個引人注目的發現是「內部人為疏失」造成的資料外洩案件也佔了四成多(48.2%)的比例,包含了內部人員疏失(21.4%)、資料遺失遭竊(18.8%)及蓄意偷取資料(8%)。究其真實狀況,包括行動裝置遺失、經由外接儲存裝置造成的資料外洩、企業內部間諜、因訪客與廠商造成的資料外洩,以及資訊安全教育的不足等等。這結論反映了資訊安全防護是一項全面性的管理,抵禦入侵與內部防禦同等重要。
擁有高敏感個資的產業最易成為駭客目標
根據去年(2011年)的調查結果,每10筆遭外洩的資料就有8筆是來自資訊科技及電腦軟體產業;但今年的調查結果顯示,資料外洩數量的前兩名已被零售業(40%)及電信業者(15%)取代。
然而,如從資料外洩事件的次數的角度檢視,卻無法反映外洩資料規模與資料外洩事件的頻率有正比關係。例如,下圖中醫療產業遭外洩的資料數量僅占總外洩資料筆數的2.7%,但該產業的資料外洩事件數量卻不成比例-若以資料外洩次數來看,醫療產業發生資料外洩案件最為頻繁,佔事件總數的34.1%。醫療紀錄屬於高度敏感資料,這個例子說明,頻繁的攻擊次數雖未造成大量的資料外洩,卻讓較少量的高敏感個資曝光,正好說明了資料外洩的數量無法正確反映外洩資料的敏感性。
企業應提防小而準的資料外洩事件
總的來說,資料外洩事件數量雖無太大的改變(2011年每月平均16.5次,2012年下降到14次),然而,資料外洩事件的平均資料外洩筆數卻大幅減半:去年(2011)5月至12月間單次資料外洩事件導致的資料外洩筆數平均超過131萬筆,而今年卻大幅降低至約64萬筆。究其原因,可能由於2011年的大型惡意網路攻擊影響,讓越來越多的大型企業開始重視客戶紀錄資料庫的保護,但也有可能是因為駭客不再只是鎖定大型企業,轉而瞄準較有價值的資料儲存處出手。這顯示了若要遏止資料外洩,企業採取的措施還不夠。