員工構成的網絡安全威脅超過黑客

馬漢

根據調查顯示，在過去一年中，32 %的企業遭受網絡攻擊。每年企業共計損失3 880億元來應對安全泄露事故，單用于修復計算機病毒的費用每年達到約550億美元。雖然網絡罪犯受到很多關注，也經常成為新聞頭條，但其實企業內部威脅（無論是否惡意）可能更大。

缺乏安全培訓導致內部威脅快速增長

在Harvey Nash/KPMG調查中，來自世界各地的4 500名首席信息官和技術負責人表示內部威脅是增長最快的安全風險。員工和承包商對企業構成重大威脅，他們通常沒有接受過適當的風險管理培訓。

盡管有些員工對企業有惡意行為，但大部分網絡安全漏洞是由于疏忽或無意的錯誤，60 %的企業承認自己的員工不了解安全風險。那些沒有向員工傳達潛在風險以及如何防范的企業可能會面臨由于人為錯誤導致的安全風險。

根據IBM發布的2016年網絡安全情報指數顯示，60 %的攻擊由內部人員執行。在這些攻擊中，四分之三涉及惡意攻擊，而四分之一為無意，這種安全泄露事故可能包括意外粘貼公司敏感信息到公司面向公眾的網站，發送受限信息到錯誤的人或者不小心泄露機密記錄等。

例如，在2013年的調查中，谷歌報告稱2 500萬Chrome警告在70.2 %的時間內被忽視。在某些情況下，警告被忽視是由于用戶缺乏技術知識，這些員工根本不了解這些警告中使用的技術語言。

黑客利用員工安全意識差展開攻擊

根據網絡安全專家表示，90 %外部網絡攻擊的發生是因為員工無意中向黑客提供了其訪問權限。網絡罪犯利用不了解網絡釣魚技術的內部人員，通常通過假冒網站或感染惡意軟件的鏈接等形式來竊取公司的敏感信息。

為了保護網絡，企業必須通過企業范圍的信息安全風險評估來識別潛在的漏洞。企業必須意識到自己網絡的狀況以抵御網絡泄露事故，企業領導應該了解哪些數據必須受到保護、這些數據位于網絡的位置以及誰可以實時訪問這些數據。

在確定重要和敏感數據后，訪問應該限于已經過適當審查并熟悉安全協議的員工。當聘請技術員工和承包商時，企業應該請專業第三方安全服務來進行徹底全面的背景調查，才能讓他們在企業的基礎設施內部進行工作。

在聘用這些人員后，企業還應該提供強制且頻繁的培訓，以提醒員工網絡安全風險以及違反安全協議的后果。培訓可能包括數據泄露事故可能對企業帶來的破壞以及員工會因疏忽而受到懲罰。安全培訓應該包括對安全風險的討論，包括通過筆記本電腦或個人存儲設備將機密信息帶出辦公室，還應該討論機密信息的處理和分享問題。

離職員工更要立即隔離權限

最后，當員工離開公司時，應立即禁止其對系統的訪問權限。理想情況下，當員工離職時應觸發自動數據擦除，以防止他們重新登錄到系統以及訪問企業數據，特別是在不需要頻繁驗證身份的云服務。

面對迅速變化的網絡犯罪趨勢，靜態評估、陳舊的員工培訓和協議無法跟上網絡安全的變化。培訓和系統評估必須持續進行以應對不斷變化的環境。