信息化觀察網(wǎng)

本文來自微信公眾號(hào)“GoUpSec”。

數(shù)據(jù)泄露的根源是“人的因素”。根據(jù)Proofpoint的報(bào)告，與系統(tǒng)漏洞或配置錯(cuò)誤相比，“用戶疏忽”才是數(shù)據(jù)泄露的主因，1%的員工造成了88%的數(shù)據(jù)泄露事件。

報(bào)告調(diào)研的組織中有85%在過去一年內(nèi)發(fā)生過數(shù)據(jù)泄露，其中超過九成組織遭受了負(fù)面后果，例如業(yè)務(wù)中斷、收入損失（超過50%）或信譽(yù)受損（40%）。

數(shù)據(jù)泄露事件暴增

調(diào)查顯示，過去一年中，組織平均每月會(huì)發(fā)生超過一次數(shù)據(jù)泄露事件（平均每年發(fā)生15起），71%的受訪者表示粗心大意的用戶是主要原因。典型的疏忽行為包括：

●將電子郵件發(fā)送給錯(cuò)誤收件人

●訪問釣魚網(wǎng)站

●安裝未經(jīng)授權(quán)的軟件

●將敏感數(shù)據(jù)發(fā)送到個(gè)人賬戶

根據(jù)Tessian在2023年采集的數(shù)據(jù)，約三分之一的員工曾將一到兩封電子郵件發(fā)送給錯(cuò)誤的收件人。這意味著擁有5000名員工的公司每年約有3400封電子郵件發(fā)錯(cuò)地址。誤發(fā)包含員工、客戶或患者數(shù)據(jù)的電子郵件所導(dǎo)致的數(shù)據(jù)泄露可能會(huì)被GDPR等法規(guī)被處以巨額罰款。

報(bào)告指出，大多數(shù)員工疏忽導(dǎo)致的數(shù)據(jù)泄露都是可預(yù)防的，可通過安全意識(shí)培訓(xùn)和實(shí)施DLP策略規(guī)則加以緩解，例如針對(duì)電子郵件、網(wǎng)絡(luò)上傳、云文件同步和其他常見數(shù)據(jù)泄露方法進(jìn)行管控。

惡意內(nèi)部人員造成的損失最大

20%的受訪者表示，惡意內(nèi)部人員（例如員工或合同工）是數(shù)據(jù)泄露事件的主因。與粗心大意的內(nèi)部人員相比，惡意行為和離職員工給企業(yè)造成的損失和影響更大，因?yàn)楹笳呤軅€(gè)人利益驅(qū)動(dòng)。

Proofpoint的數(shù)據(jù)顯示，在過去9個(gè)月中，云租戶之間的文件泄露事件中有87%是由離職員工造成的，但是很多離職員工并不總是認(rèn)為自己的行為具有惡意，一些人只是覺得自己有權(quán)帶走自己制作的信息。這凸顯了針對(duì)離職員工實(shí)施安全審查流程等預(yù)防策略的重要性。

1%的員工造成了88%的數(shù)據(jù)泄露

63%的受訪者認(rèn)為，擁有敏感數(shù)據(jù)訪問權(quán)限的員工（例如人力資源和財(cái)務(wù)專業(yè)人員）是數(shù)據(jù)泄露的最大風(fēng)險(xiǎn)因素。

此外，Proofpoint的數(shù)據(jù)顯示，1%的員工造成了88%的數(shù)據(jù)泄露事件。這些發(fā)現(xiàn)表明，組織必須優(yōu)先采用最佳實(shí)踐，例如使用數(shù)據(jù)分類來識(shí)別和保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)并監(jiān)控?fù)碛忻舾袛?shù)據(jù)訪問權(quán)限或管理員權(quán)限的人員。

雖然許多DLP計(jì)劃最初都是為了滿足合規(guī)要求而實(shí)施，但超過一半的調(diào)查參與者表示，保護(hù)客戶和員工隱私是其主要驅(qū)動(dòng)因素。金融、醫(yī)療和政府除外，這些行業(yè)將監(jiān)管列為最常見的實(shí)施原因。

Kalember表示，“除了定期更新DLP策略外，安全團(tuán)隊(duì)需要全面了解所有事件的用戶和數(shù)據(jù)，重點(diǎn)解決以人為因素為主的數(shù)據(jù)泄露全方位問題，人是數(shù)據(jù)安全的關(guān)鍵變量，數(shù)據(jù)泄露防護(hù)計(jì)劃必須認(rèn)識(shí)到這一點(diǎn)。”

人工智能時(shí)代DLP策略需要“以人為本“

雖然企業(yè)正紛紛投資數(shù)據(jù)泄露防護(hù)(DLP)解決方案，但Proofpoint的報(bào)告顯示，這些投資往往收效甚微。例如，在3月份引發(fā)網(wǎng)絡(luò)安全業(yè)界廣泛關(guān)注的谷歌起訴華人工程師竊密案件中，涉事谷歌員工在長達(dá)一年的時(shí)間內(nèi)將500多個(gè)包含商業(yè)機(jī)密的文件從工作電腦上傳到谷歌網(wǎng)盤中，谷歌的DLP策略形同虛設(shè)。

“該研究揭示了數(shù)據(jù)泄露問題最關(guān)鍵的問題：人為因素，”Proofpoint首席戰(zhàn)略官RyanKalember表示，“粗心大意、被感染惡意軟件以及惡意用戶一直是絕大多數(shù)數(shù)據(jù)泄露事件的始作俑者，與此同時(shí)，隨著員工越來越多地使用生成式人工智能工具（尤其是影子AI）完成日常工作，AI工具正在大量獲取敏感數(shù)據(jù)訪問權(quán)限。各組織需要重新思考其DLP策略，解決數(shù)據(jù)泄露的根本原因——人為因素。唯有如此，才能跨越員工使用的所有渠道（包括云端、終端、電子郵件和網(wǎng)絡(luò)）檢測、調(diào)查和應(yīng)對(duì)數(shù)據(jù)泄露威脅。”

ChatGPT、Grammarly、必應(yīng)聊天、谷歌Gemini、文心一言、月之暗面等國內(nèi)外生成式人工智能工具的功能和實(shí)用性日益增強(qiáng)，吸引越來越多的用戶將敏感數(shù)據(jù)輸入這些應(yīng)用程序。“員工瀏覽生成式人工智能網(wǎng)站”正在成為主流DLP和內(nèi)部威脅警報(bào)規(guī)則。