2023年11月3日,萬豪酒店登上微博熱搜,英國資訊專員辦公室(ico)對其進行了1840萬英鎊(約1.6億元)的罰款。原因是該酒店在2023年11月底洩漏了3億多客人資訊,細節包括姓名、郵寄位址、**號碼、電子郵件、護照號碼、出生日期、性別、退房時間、預訂日期和通訊偏好,以及部分客人的支付卡號碼和有效期。根據調查,洩漏源頭的喜達屋酒店從 2014至2023年均遭受過網路攻擊,直到2023年才被發現。
2023年7月,湖南某高校多名在校生爆料稱個人資訊遭到盜用,洩露資訊主要用於菸草許可證辦理、公積金提取、個人資訊更改、靈活社保辦理和購買房產等,涉及近2000名學生。市長**調查反饋稱,是系統資料匯入出現問題,通過人工重新操作,取消錯誤資料進行更改解決。
上述案例僅僅是眾多資料洩漏案例中的冰山一角,根據ibm《2023年全球資料洩露成本報告》顯示,惡意資料洩露平均給調研中的受訪企業帶來 445 萬美元的損失。cncert 在2023年全年累計發現我國重要資料洩露風險與事件 3000 餘起。
我們不禁要問,資料是怎樣被洩漏的?今天我們就來揭示資料洩漏的幾個主要原因。
內部人員威脅
乙個常見的誤解是資料丟失主要是由惡意攻擊者造成的。但據proofpoint公司統計,43%的資料洩露是源於內部的;「堡壘最容易從內部攻破」,惡意內部人員、取得高許可權賬戶的攻擊者濫用其許可權並將資料竊取出去。
常見的場景有:
usb移動儲存裝置訪問不受限制,一塊行動硬碟就能把企業核心機密全部帶走;
開發測試人員許可權過大,能夠直接訪問企業核心生產資料,並通過工具軟體搬運出來;
對影印機、印表機、拍照裝置管理不嚴,通過列印關鍵**、影印紙質合同、對合同拍照等手段竊取企業機密。
高許可權的領導自身安全意識不強,平時用弱密碼(如「123456」)訪問企業核心系統,被惡意內部人員輕易的猜到了使用者名稱密碼,進入系統,竊取高許可權才能訪問的機密資訊。
攻擊者的入侵
許多網路攻擊均以敏感資料為目標。攻擊者使用網路釣魚,惡意軟體或**注入之類的技術滲透安全邊界,並獲得對敏感資料的訪問許可權。更甚者使用加密軟體對企業重要業務資料進行加密,再索取高額解密的贖金。
常見的場景有:
利用企業官方**、電子郵件系統、oa系統、財務系統、vpn等對外服務的系統漏洞,入侵企業內部網路,竊取敏感資料。現代企業日常運營離不開門戶**、erp系統、財務系統、oa系統、電子郵件系統、**託管庫、缺陷跟蹤庫等的支援,而且往往為了分支機構訪問方便,部署在internet上,這就為黑客提供了較大的暴露面。
勒索病毒,惡意加密企業重要業務資料,再索取高額解密的贖金。浙江省某醫院就發生過oracle資料庫被黑客投放了勒索病毒的安全事件。
對於企業傳輸通道進行抓包竊聽,對尚未採用https加密的**能夠直接竊取到重要資訊的明文。
意外或疏忽的資料洩露
員工在公共場所丟失敏感資料;或資料訪問必須通過internet但一時沒來得及做敏感資料識別管控;或由於技術陳舊(例如內部靜態檔案伺服器)無法做精確的資料訪問許可權控制導致不同部門之間的資料彼此共享。
常見的場景有:
員工手機、膝上型電腦意外丟失。
公司招標**對所有潛在**商開放訪問,但由於沒來得及做敏感資料管控導致**商能訪問歷史上所有的招標公告。
使用多年的靜態檔案伺服器,出於訪問方便的考慮,對員工不做任何限制,基層員工登陸後也能看到財務部、採購部的目錄並拷貝檔案出來。
防止企業資料洩漏的方法
企業可以根據自身情況採取有針對性的措施,實現有針對性 徹底的洩漏事故預防。因此,資料洩漏預防主要考慮以下兩個重要方面 一 確保源資料安全並加密核心資料 利用加密手段對資料進行加密和保護已成為業界的主要做法。目前,國內市場上有許多供企事業單位使用的計算機檔案加密軟體。例如,有乙個 計算機檔案加密軟體的...
我們的工資是怎樣被剋扣的
個稅演算法 2011年 9月1日起調整後的7級超額累進稅率 扣除數為3500元。全月應納稅所得額 稅率 速算扣除數 元 全月應納稅額不超過1500元 3 0 全月應納稅額超過1500元至4500元 10 105 全月應納稅額超過4500元至9000元 20 555 全月應納稅額超過9000元至350...
白領們是怎樣被下流化的
白領們是怎樣被下流化的 通常情況下,白領們被看作是潛在的 中產階級 工作好 收入高,消費能力強,生活也應該相當瀟灑。但是最近的一項調查卻顯示,白領們的消費十分低迷。智聯招聘的一項針對職場白領的調查顯示,超過三成的職場白領週末選擇在家睡大覺,六成職場白領週末平均花費在200元以下。北京晨報 7月29日...