Kroll调查:数据安全事件人为失误首当其冲


根据风险缓解和调查服务公司Kroll的最新分析数据显示,英国信息委员会(ICO)收到的数据安 全事件报告数量在过去两年中飙升了75%,其中绝大多数安全事件要归咎于人为失误,而非恶意的网 络攻击行为。

大约2,124份安全事件报告可归因于人为失误,而恶意的网络攻击事件只有292起。在人为失误 导致的安全事件中,最常见的类型包括:将机密数据通过电子邮件发送给错误的收件人(447起安全 事件),丢失或被盗文件(438起事件)以及将数据存储在不安全的位置(164起事件)。

  医疗保健行业:最糟糕的罪魁祸首

由于人为失误造成安全事件最多的是医疗保健行业,该行业在过去一年中报告了1,214起安全事 件,两年内增长了41%。其次是一般商业行业(362起),教育和儿童保健行业(354起)以及地方政府 (328起)等。 这些信息主要来自信息自由(Freedom of Information,简称FOI)请求。据悉,《信息自由法案 》在1966年7月4日签署成为法律,法案规定任何人都有权利通过书面请求的方式从联邦政府处获取 信息,并要求政府机构公开文件。 在GDPR正式生效之前,大多数组织并没有强制要求报告其数据泄露事件,因此虽然这些数据很 有启发性,但它只是给出了英国各组织遭受的真实违规情况的一个缩影。 GDPR正式生效后,不满足合规性要求的企业将面临巨额的罚款,最终的影响是,企业不仅会面 临更大的个人数据财务风险,还将面临更严峻的声誉风险。 有效的网络安全防御不仅仅与技术有关。通常而言,企业更倾向于购买最新的软件来保护自身 免受黑客攻击,但却未能启动有效的数据管理流程和员工培训项目,以最大限度地降低安全风险。 事实证明,大多数数据泄露事件,甚至很多网络攻击行为,都可以通过减少人为失误或实施相对简 单的安全流程来有效地阻止。

  企业必须帮助用户成为最强大的“链条”,而不是最薄弱的环节

这需要的不仅仅是为用户提供安全和隐私意识培训,还需要建立有效的机制来识别和防止内部 数据泄露事件的发生。 想要真正地减少人为失误,增强数据安全性还需要人员、流程和技术的结合:所有这些因素必 须仔细调整,以便更为有效、正确地融合在一起。要知道单靠安全性无法阻止违规行为,它还需要 进行文化转变,以便将数据治理的安全意识和文化扎根于整个组织中。 除此之外,信息自由(FOI)数据还发现,未加密设备的丢失或被盗(133起)是数据泄露报告的另 一个常见原因。在报告的蓄意网络事件中,未经授权的访问是最常见类型(102起),其次是恶意软件 攻击(53起),网络钓鱼攻击(51起)以及勒索软件(33起)等