我好像很久沒有寫資安的文章,藉這個機會再來寫一寫!
資安對金融業來講比其他的行業更加敏感而重要,未受良好訓練的員工顯然是困擾金融業絕大多數公司的事件根源。
前一陣子網路安全和 DLP 供應商 Clearswift 對英國企業金融組織內部進行調查,發現大部分問題都是員工粗心大意,對安全意識和一般安全實踐不感興趣。
金融業員工經常犯下的資訊安全錯誤主要包括以下幾種:
1. 不遵守資料保護政策
許多員工未能遵守公司制定的資料保護政策,例如未經授權接觸敏感數據或將未加密的敏感訊息發送到外部。這是造成許多數據洩露事件的主要原因 。
2. 點擊釣魚郵件
員工點擊釣魚郵件是常見的安全隱患。這些郵件通常偽裝成合法的公司通訊,一旦員工點擊,其中的惡意鏈接或附件就會感染公司的系統,導致資料洩露或勒索病毒感染。
3. 使用不安全的BYOD(自帶設備)
員工使用未經安全驗證的個人設備(例如USB設備或個人手機)連接到公司網絡,這些設備可能會攜帶惡意軟件,從而導致公司的系統被感染。
4. 下載惡意文件
一些員工可能會從不安全的網站下載文件,這些文件可能包含惡意軟件,從而感染公司系統並導致數據洩露。
5. 共享數據給未經授權的接收者
員工可能會無意間將敏感數據發送給未經授權的接收者,這可能是因為操作失誤或缺乏安全意識。
6. 弱密碼和重複使用密碼
使用弱密碼或在多個平台重複使用相同的密碼也是常見的錯誤,這使得駭客能夠更容易地破解密碼並獲取訪問權限。
7. 未及時安裝安全更新
員工未能及時更新其操作系統和應用程序,這使得系統容易受到已知漏洞的攻擊。
8. 缺乏安全培訓和意識
許多員工缺乏基本的資訊安全培訓和意識,這使得他們難以識別潛在的威脅和正確應對安全事件。
不小心已經是很大的問題,因為政治狂熱而忽略專業倫理和資訊安全訓練,無法遵守公司的資訊安全政策,倒是非常稀少的案例,國泰人壽這個案例應該會被放在資訊安全教育的教材裡面。
有關於金融業資訊安全的問題,有一個反覆出現的主題:員工不知道對組織的安全保持警惕以及無法遵守公司安全策略,43% 的資安事件是由員工不遵守組織資料保護政策造成的。
金融組織需要努力創造一種安全文化,其中包括讓員工接受持續的安全意識訓練課程,這些課程讓他們了解為什麼關注網路安全和隱私權保護是他們工作的必要組成部分。
資安專家和駭客比起來是更加困難,找到一個系統的弱點加以攻擊可能就會變成有名的駭客,但要把所有系統的弱點都補起來不受到攻擊,才能成為資安專家。
尤其資訊安全牽扯到人的部分,人是最不可靠,只要有一個人出了問題,可能整個公司都完蛋了!
原文出自李忠憲臉書,芋傳媒經授權轉載。
評論被關閉。