賽門鐵克 數據洩漏系人為和系統錯誤

2024-11-20 19:24:10

    泡泡網企業頻道頻道6月17日 賽門鐵克公司（納斯達克：SYMC）和美國波耐蒙研究所（Ponemon Institute）今日發布了《2013年數據洩露成本研究：全球分析報告》。該項研究的數據表明，2012年，三分之二的數據洩露事故均由人為錯誤和系統問題造成，每項受損數據記錄的全球平均成本高達136美元。該研究也揭露了目前企業存在的一些問題：包括員工處理機密文件不當、企業缺乏系統控制以及違反產業和政府規定等等。研究結果還揭示，醫療保健、金融和製藥等受嚴格監管的行業的數據洩露成本比其他行業高出70%。

    與全球受影響客戶的數據洩漏成本同比皆上漲的趨勢相反，美國各項洩露事故的總成本則略有下降，降至540萬美元。下降原因主要得益於美國大部分公司均指派了首席信息安全官，專門負責企業安全、公司對全球事故做出及時響應，以及對企業總體安全程序進行加固等。

    波耐蒙研究所主席Larry Ponemon表示：「儘管外部攻擊者及其不斷演變的攻擊方法對企業構成了極大的威脅，但與內部威脅相關的危險也可能造成同樣的破壞力和危害。八年的針對數據洩漏成本的研究結果也顯示，員工行為是當今企業面臨的最緊迫問題之一，而自第一次調查後，該項因素已經增長了22%。」

    賽門鐵克信息管理集團執行副總裁Anil Chakravarthy表示：「與一般企業相比，那些信息安全措施嚴格、事故響應及時的企業的洩露成本要低20%，因此，對信息安全採取統籌規劃和通盤考量極為重要。」他還說，「不管客戶的敏感信息是存儲在私人電腦、行動裝置、企業網絡還是數據中心裡，企業都必須確保這些信息的安全。」

    此次也是第八次年度全球報告基於對美國、英國、法國、德國、義大利、印度、日本、澳大利亞和巴西這九個國家的277家企業的實際數據洩露調查結果。該報告中研究的所有數據洩露事件均發生在2012年。為正確追蹤趨勢性數據，波耐蒙研究所並未將超過十萬次的「大型數據洩漏事件」記錄包括在內。

    各企業可以通過訪問賽門鐵克公司的「數據洩漏風險計算器」來分析自身面臨的風險。數據洩漏風險計算器將企業的規模、行業性質、地理位置和安全措施做了全面考慮，通過此，能夠生成一個對企業數據記錄的預測和企業本身的評估。

    其他重要發現包括：

    1.全球範圍內數據洩露平均成本差別顯著。這些差異大部分是因為企業所面臨的風險類型以及各國數據保護法律不同所致。德國、澳大利亞、英國和美國等國家擁有更加完善的消費者保護法律和法規來加強數據保密性和網絡安全。儘管如此，美國和德國的數據洩露成本依然最高（平均事故成本分別達到188美元和199美元）。這兩個國家的單項數據洩露事故總成本也最高（美國為540萬美元，德國為480萬美元）。

    2.人為和系統錯誤是導致數據洩漏的主要原因。在針對全球的研究中，人為錯誤和系統問題導致了64%的數據洩漏事故，而此前的研究也顯示，62%的員工表示可以將企業數據轉移至公司外部，並且大部分人從不刪除數據，因而容易遭受數據外洩。這說明有很大一部分數據洩露事件是由內部人員導致，致使企業承擔了高額的數據洩露成本。研究還顯示，巴西的企業最有可能遭遇因人為錯誤而導致的數據洩漏事件。印度的企業則最有可能因系統故障或業務流程崩潰而導致數據外洩。系統故障包括：應用程式錯誤、無意識數據轉存、數據傳送中的邏輯錯誤、身份或身份驗證失敗（非法訪問）、數據恢復失敗等等。

    3.惡意和違法攻擊在各地都代價高昂。綜合研究結果顯示，惡意和違法攻擊導致的數據洩露事件佔比高達37%，而因此造成的數據外洩在九個國家中也成本最高。美國和德國公司因惡意或違法攻擊導致的數據外洩事故成本最高，各項受損記錄成本分別為277美元和214美元。而巴西和印度的各項受損記錄成本最低，分別為71美元和46美元。德國公司最有可能遭遇惡意或違法攻擊，緊接著是澳大利亞和日本。

    4.部分企業因自身管理到位而使數據洩漏成本降低。美國和英國公司的信息安全措施嚴格、事故響應及時，同時他們還任命了首席信息安全官來專門負責企業的安全問題，因此其數據洩露成本下降幅度最大。美國和法國還通過僱傭數據洩漏補救顧問來降低成本。

    為防止數據洩露並有效降低成本，賽門鐵克推薦企業遵守以下非常好的實踐：

    1.教育和培訓員工如何處理機密信息；

    2.採用數據丟失防護技術來尋找敏感信息並防止離開公司後的信息外洩；

    3.部署加密和強身份驗證解決方案；

    4.制定事故響應計劃，包括採取適當的措施來通知客戶。■