即便是開源加密套件OpenSSL出現Heartbleed漏洞,搞的許多資安人員人心惶惶,但是,根據資安公司SafeNet一份針對2013年資料外洩的研究報告指出,2013年總共有5.75億筆的資料外洩,每天外洩的資料數量達157萬筆。各產業資料外洩比例中,有43%的高科技業曾經面臨資料外洩現象,該產業遭竊企業平均遭竊的資料筆數則高達660萬筆。SafeNet資料保護方案資深副總裁兼總經理Prakash Panjwani表示,「加密」是解決資料外洩的最好方法,其次就是落實加密金鑰管理和存取控管。

根據SafeNet的調查,其中有44%的外洩事件,並沒有對外揭露詳細的外洩的資料數量;而27%資料外洩是因為意外;57%來自外部的惡意程式入侵;來自內部人員的惡意外洩則有13%;至於是真正被駭客鎖定、並入侵企業系統而導致資料外洩,其實只有2%;至於國家級的攻擊行動(例如APT),則不到1%。

至於受影響的產業別中,健康醫療產業是受害最深的產業,有28%的企業曾經有資料外洩事件,其次為政府(15%)和高科技業(11%),常見的金融和零售業,其實只有2%和1%的業者曾經發生資料外洩現象。但是,還是有高達44%的企業並沒有意識到已有資料遭外洩。

但從另外一個角度看,各產業平均每次遭到外洩的資料數量達630,000筆,但遭竊資料數量最高的產業則是高科技製造業(49%),其次為零售業(30%)和政府部門(11%)。至於每一筆資料遺失的成本,在美國平均成本為188美元。

Prakash Panjwani表示,從該份資料統計,零售業每一次的資料外洩,平均有657萬筆資料外洩。他說,就像是2013年美國零售業者Target因為POS惡意程式導致許多客戶信用卡資料遭到外洩,這也成為零售業外洩資料數量偏高的重要原因之一。也因此,在2013年,企業雖然有16%的IT預算花在資安上,其中,超過26%資安預算用來採購資安產品,但資料外洩現象依然橫行,因為防護資料外洩成效不彰,有46%的企業預計在2014年要增加資安預算。

為了降低這類資料外洩的風險,Prakash Panjwani認為,每個人對於資料保護應該要有新思維,首先要確認的觀念就是資料加密,不只是傳統只有公司機敏資料必須加密,其他包含公司客戶以及員工資料,只要每一次要進行資料搬移和儲存時,都應該做到基本的加密。

其次,就是落實加密金鑰的管理。他認為,加解密是一項複雜的事情,集中化管理是確保加解密金鑰安全的作法。最後,他指出,確保身分安全要做到每一次的系統和資料存取,都是具有合法權限的人才能夠存取合乎權限規範的資料內容。


2013年企業資料外洩概況
●    外洩資料總數:5.75億筆
●    沒有意識到資料外洩企業比例:44%
●    造成資料外洩原因:意外(27%)、外部惡意程式(57%)、內部人員外洩(13%)、駭客鎖定攻擊(2%)、國家級攻擊行動(1%)
●    最常發生資料外洩的產業:健康醫療(28%)、政府(15%)、高科技製造業(11%)
●    資料遭竊企業平均外洩資料:63萬筆
●    資料遭竊最多產業:高科技製造業占49%,零售業占30%,政府部門占11%
●    每筆外洩資料平均成本:188美元
資料來源:SafeNet,2014年4月


Advertisement

更多 iThome相關內容