員工疏忽及蓄意行為 導致企業數據外洩問題日增

dan.gel

就數據外洩問題嚴重， TREND Micro 與 Ponemon Institute 進行「 The Human Factor in Data Protection 」研究，該報告指出大多數據外洩均由於機構員工疏忽或蓄意造成，當中超過 78% 受訪機構指員工有意或無意的行為導致公司數據外洩，並於過去兩年內至少發生一宗數據外洩，令公司蒙受損失。

數據外洩的三大起因，分別由於員工遺失筆記簿電腦、 35% 涉及其他流動數據儲存裝置、 32% 因發生第三方不幸事故或失誤，以及 29% 由於系統故障等。此次調查訪問了 709 名美國資訊科技和資訊科技保安從業員，近七成受訪者非常同意同意其機構現時的數據保安措施不足以抵禦針對性攻擊或黑客。

其中，報告顯示 56% 受訪者指出，縱使員工無意犯錯，大部份數據外洩事件最後為意外揭發，只有 19% 受訪者表示員工發生外洩事故後會自行申報，因此難以及時解決問題， 37% 受訪者表示外洩由審計或評估揭發，而 36% 受訪者表示外洩由數據保安技術人員發現。研究人員針對員工少於 100 人的企業進行獨立分析，結果顯示中小企員工不當處理數據的風險高於大型企業。總括來說，中小企的數據外洩發生比率為 81% ，略高於大型企業的 78% ，原因是員工未有妥善處理敏感數據。

然而，報告亦顯示中小企員工較多作出「高風險」行為導致數據外洩，當中 58% 中小企員工表示曾開啟濫發訊息內的附件或網站連結，只有 39% 大企業員工有此等行徑； 77% 中小企員工表示曾經隨意放置已開啟的電腦，而只有 62% 大企業員工會隨意放置電腦。而超過半數中小企員工較可能違規瀏覽受限制的網站，有此習慣的大企業員工只有 43% 。

除此之外，約有 65% 小企業表示，其機構內的敏感或機密業務訊息一般沒有加密，亦沒有部署數據損失防護技術。 62% 小企業相信他們未有受到保護， 65% 認為是由於有關技術過於昂貴， 54% 則認為這些技術太複雜，可見小企業員工花時間進行數據防護，或安裝適當技術來避免數據損失的比率亦較低。

Ponemon Institute 主席兼創辦人 Larry Ponemon 博士指出，由於機構內工作團隊流動性提高、流動數據儲存裝置大行其道、資訊科技消費化及員工在工作期間瀏覽社交媒體，均對企業構成高風險的保安威脅。而大部份受訪者相信其公司仍未作出足夠努力，以確保數據保安基礎設施獲得有效保護及對抗黑客和針對性攻擊。

TREND Micro 同時為各企業提供建議有效減低人為因素風險，由於數據和裝置都很容易暴露於外，機構要以新思維來看待數據安全，把焦點集中於「以數據為本」的保安措施，同時應喚起員工和其他內部人士的注意，提醒他們需要投入更多時間和努力來保護數據，確保數據保安政策能針對機構數據可能外洩的弱點。同時研究各種高效率和高成本效益的管理和技術方案，例如以電郵為基礎的數據損失預防方案、電郵加密和安全檔案共享方案，確保所有擁有高階存取權限的用戶都清楚知道有關風險。若儲存了敏感和機密資訊的流動裝置遺失或被竊，需立即通報。最後亦應制定企業政策，規管在工作間使用社交媒體的行為。

source: HKEPC