随着數字化轉型浪潮的持續高漲,數字化發展的趨勢越來越明顯,資料已經成為企業不可或缺的重要資産。當下社會,資料對于企業的重要性與日俱增,相對應的資料安全風險問題也随之而來。近日,由IBM釋出的《2022年資料洩露成本報告》顯示,2022年全球資料洩露平均成本為435萬美元,創下該年度報告釋出以來的最高紀錄,給企業群組織造成的經濟損失和影響力達到了有史以來的最高點。
資料洩露不僅給企業帶來了财産損失,也給企業帶來了極大的聲譽威脅。以下是日常生活中企業和個人可能存在的資料洩密方式以及應對的建議。
一、機房資料洩密
目前企業會将一部分伺服器和網絡裝置放置于雲端,也會建設本地機房,放置重要的伺服器與裝置。企業若未做好機房管理工作,對機房門禁、出入登記、環境設施等未做相應管理時,會造成人員随意進出機房,敏感資料被洩密的局面。若是機房未對電磁信号進行屏蔽、幹擾,也有可能發生電子信号洩露的情況。
為有效防止機房資訊洩露事件的發生,建議企業建立人員出入機房登記制度與管理規範。在機房設計中,嚴格管控機房内室溫,對空調、伺服器、路由器等裝置定期檢查,對涉及機密資料的資料中心機房設定電磁屏蔽室。
二、網絡社交媒體洩密
QQ空間、微信朋友圈、微網誌等網絡社交媒體已成為當下網民日常上網浏覽資訊與分享生活的重要途徑,而在個人社交媒體上分享的生活照、傳遞的訊息及釋出的圖檔很有可能就成為了黑客手中的工具,對企業的敏感資訊造成洩密威脅,在社交平台上意外洩露資料也逐漸成為資訊洩露的一大風險,請務必小心“隔牆有耳”。
建議企業對員工做針對性的安全教育訓練,加強員工資訊安全意識教育。而員工也切勿因“一時手癢”在社交平台釋出有關企業内部敏感資訊的内容。
三、共享文檔洩密
在日常辦公過程中,共享文檔逐漸成為我們統計資料、填寫文本以及共享資料的便捷工具,然而共享文檔的便捷,有時也會成為危害企業資料安全的利刃。無法保障文檔的隐私安全,無法記錄哪些人員對共享文檔有過哪些修改,都很有可能緻使公司機密檔案洩露。
建議企業可以建立檔案共享伺服器,統一管理共享檔案的通路控制權限。而共享文檔的管理者可将文檔設定成隻讀模式,設定查閱權限與密碼,使用者隻需檢視或複制共享文檔即可。
四、檔案權限失控導緻資料洩密
依據國家保密的密級劃分,可将涉密資訊等級劃分為:絕密、機密、秘密三級。通常情況下,根據員工的職位與部門,其所接觸到的企業資訊與檔案檔案也是不同,但目前大部分的企業,對于資訊保密程度的劃分不明确,權限的認定也存在界限不明的情況,這就有可能導緻企業内部高度機密的資訊被告知于無相應保密等級與權限的員工。
建議企業做好内部文檔權限的劃分,建立資訊保密制度,做好資訊保密級别劃分工作,員工嚴格按照要求執行。
五、離職人員拷貝企業内部檔案洩密
相關的調查結果顯示,企業離職員工當中,有占比七成的人員會将原公司資料拷貝取走,帶走公司内部資料。管理層帶走公司業務機密檔案,研發人員帶走内部核心代碼與研發成果,銷售人員帶走銷售資料與客戶資訊,而财務人員帶走公司核心的财務資訊與報表資料等。
員工離職時,人力資源部應與之進行離職面談,了解離職原因與其手頭現有工作内容,審查其公司電腦及其他裝置是否存有機密資料。而員工離職時,也應自覺删除手中現有的公司敏感資料。另外,企業需與入職員工簽署保密協定,入職後,對員工進行相應教育訓練。
六、USB裝置接入洩密
除了通常為人們所知的USB儲存設備之外,其他的USB裝置接入我們日常辦公用的電腦時,也會造成資訊洩露的危害,比如USB小風扇。這些看似無害的裝置卻很有可能充當起攻擊者的攻擊後門,攻擊者可通過此類USB裝置潛入公司企業網絡,造成威脅。
建議采用新一代安全防護技術,檢測木馬病毒的入侵以及非特權使用者接入,防止未授權代碼執行。建立端點檢測與響應機制,監控擴充裝置的執行流程,審計過程日志。
七、廢棄檔案與裝置隐私資料洩露
丢棄的文檔資料未經碎紙機處理,或是廢舊裝置例如舊列印機丢棄回收時,未清除其中所存的賬号密碼等隐私資料,很有可能會被有心人利用,從中提取有用的資訊,甚至是裝置密碼,滲透到企業内部網絡,以竊取更為機密的資料,屆時企業将面臨隐私資料洩露的風險。
建議企業應對各種資料進行加密處理,建立廢棄檔案、裝置的安全丢棄規範。而員工的廢棄檔案必須使用碎紙機碎紙。針對裝置,必須進行格式化處理,對可移動媒體進行有效控制。
八、員工誤遭釣魚攻擊
在一些招聘網站或是軟體上,人們往往會暴露自己的工作履曆,洩露工作地點、手機号碼等重要的隐私資料。而這種資料恰好為攻擊者大開友善之門,提供可趁之機,攻擊者可借此發動網絡釣魚攻擊,通過搜尋目标,冒充HR或是公司高管的方式,利用社工行為搜集到更多有用的資訊後,發送釣魚資訊或釣魚郵件,引誘被害者上鈎。或是冒充公司人員,在新員工入職的第一天進行搭讪和欺騙。
建議企業安全團隊加強對新員工的網絡安全意識教育,并介紹企業郵箱的形式與發送格式,避免員工上當,遭受釣魚攻擊。
![虹科分享 | 資料洩露的剖析[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)