本文来自微信公众号“GoUpSec”。
数据泄露的根源是“人的因素”。根据Proofpoint的报告,与系统漏洞或配置错误相比,“用户疏忽”才是数据泄露的主因,1%的员工造成了88%的数据泄露事件。
报告调研的组织中有85%在过去一年内发生过数据泄露,其中超过九成组织遭受了负面后果,例如业务中断、收入损失(超过50%)或信誉受损(40%)。
数据泄露事件暴增
调查显示,过去一年中,组织平均每月会发生超过一次数据泄露事件(平均每年发生15起),71%的受访者表示粗心大意的用户是主要原因。典型的疏忽行为包括:
●将电子邮件发送给错误收件人
●访问钓鱼网站
●安装未经授权的软件
●将敏感数据发送到个人账户
根据Tessian在2023年采集的数据,约三分之一的员工曾将一到两封电子邮件发送给错误的收件人。这意味着拥有5000名员工的公司每年约有3400封电子邮件发错地址。误发包含员工、客户或患者数据的电子邮件所导致的数据泄露可能会被GDPR等法规被处以巨额罚款。
报告指出,大多数员工疏忽导致的数据泄露都是可预防的,可通过安全意识培训和实施DLP策略规则加以缓解,例如针对电子邮件、网络上传、云文件同步和其他常见数据泄露方法进行管控。
恶意内部人员造成的损失最大
20%的受访者表示,恶意内部人员(例如员工或合同工)是数据泄露事件的主因。与粗心大意的内部人员相比,恶意行为和离职员工给企业造成的损失和影响更大,因为后者受个人利益驱动。
Proofpoint的数据显示,在过去9个月中,云租户之间的文件泄露事件中有87%是由离职员工造成的,但是很多离职员工并不总是认为自己的行为具有恶意,一些人只是觉得自己有权带走自己制作的信息。这凸显了针对离职员工实施安全审查流程等预防策略的重要性。
1%的员工造成了88%的数据泄露
63%的受访者认为,拥有敏感数据访问权限的员工(例如人力资源和财务专业人员)是数据泄露的最大风险因素。
此外,Proofpoint的数据显示,1%的员工造成了88%的数据泄露事件。这些发现表明,组织必须优先采用最佳实践,例如使用数据分类来识别和保护关键业务数据并监控拥有敏感数据访问权限或管理员权限的人员。
虽然许多DLP计划最初都是为了满足合规要求而实施,但超过一半的调查参与者表示,保护客户和员工隐私是其主要驱动因素。金融、医疗和政府除外,这些行业将监管列为最常见的实施原因。
Kalember表示,“除了定期更新DLP策略外,安全团队需要全面了解所有事件的用户和数据,重点解决以人为因素为主的数据泄露全方位问题,人是数据安全的关键变量,数据泄露防护计划必须认识到这一点。”
人工智能时代DLP策略需要“以人为本“
虽然企业正纷纷投资数据泄露防护(DLP)解决方案,但Proofpoint的报告显示,这些投资往往收效甚微。例如,在3月份引发网络安全业界广泛关注的谷歌起诉华人工程师窃密案件中,涉事谷歌员工在长达一年的时间内将500多个包含商业机密的文件从工作电脑上传到谷歌网盘中,谷歌的DLP策略形同虚设。
“该研究揭示了数据泄露问题最关键的问题:人为因素,”Proofpoint首席战略官RyanKalember表示,“粗心大意、被感染恶意软件以及恶意用户一直是绝大多数数据泄露事件的始作俑者,与此同时,随着员工越来越多地使用生成式人工智能工具(尤其是影子AI)完成日常工作,AI工具正在大量获取敏感数据访问权限。各组织需要重新思考其DLP策略,解决数据泄露的根本原因——人为因素。唯有如此,才能跨越员工使用的所有渠道(包括云端、终端、电子邮件和网络)检测、调查和应对数据泄露威胁。”
ChatGPT、Grammarly、必应聊天、谷歌Gemini、文心一言、月之暗面等国内外生成式人工智能工具的功能和实用性日益增强,吸引越来越多的用户将敏感数据输入这些应用程序。“员工浏览生成式人工智能网站”正在成为主流DLP和内部威胁警报规则。