據(jù)CNBC報(bào)道,伴隨著大量被報(bào)道的數(shù)據(jù)外泄繼續(xù)襲擊美國(guó)企業(yè),信息技術(shù)預(yù)算正在不斷膨脹,旨在對(duì)抗企業(yè)自認(rèn)為是自己所面臨的最大威脅:來(lái)自外部實(shí)體的富有經(jīng)驗(yàn)的匿名黑客。根據(jù)美國(guó)身份竊盜資源中心(Identity TheftResourceCenter,ITRC)發(fā)布的數(shù)據(jù),今年已有600萬(wàn)項(xiàng)記錄被曝光。
但是,實(shí)際上,很多企業(yè)和客戶的敏感數(shù)據(jù)所面臨的更大威脅,是來(lái)自企業(yè)內(nèi)部那些看起來(lái)無(wú)害的人:負(fù)責(zé)處理客戶電子郵件的信貸員、養(yǎng)老院的護(hù)理人員、一家有聲望的城市醫(yī)院主要手術(shù)室的單位協(xié)調(diào)員。
根據(jù)美國(guó)電信業(yè)者Verizon發(fā)布的《2015數(shù)據(jù)外泄調(diào)查報(bào)告》,在所有安全事故中大約有50%因內(nèi)部人員而起。30%的安全事故歸因于員工的疏忽,比如或?qū)⒚舾袛?shù)據(jù)傳給了錯(cuò)誤的接收方,或?qū)€(gè)人和醫(yī)療數(shù)據(jù)進(jìn)行了不安全處理。約有20%的安全事故被認(rèn)為是內(nèi)幕者濫用事件,比如說(shuō)雇員可能盜竊或從企業(yè)擁有或保護(hù)的信息中獲利。
身處前沿的雇員盜取病人的醫(yī)療數(shù)據(jù)或客戶的社保數(shù)據(jù),然后賣給黑市,或進(jìn)行詐騙,比如說(shuō)收取某個(gè)人的社保福利,以另外一個(gè)名字開(kāi)新用戶卡賬號(hào),或通過(guò)假冒某個(gè)人的身份來(lái)申請(qǐng)醫(yī)保。
自2011年以來(lái),Verizon首次發(fā)現(xiàn)多數(shù)內(nèi)幕攻擊的制造者并不是出納員,很多“內(nèi)幕”終端用戶——企業(yè)內(nèi)除了高管、經(jīng)理、財(cái)務(wù)人員、開(kāi)發(fā)者或系統(tǒng)管理員之外的任何人——應(yīng)該為此負(fù)責(zé)。絕大多數(shù)的人因貪婪而做出不當(dāng)行為。
ITRC首席執(zhí)行官兼總裁Eva Velasquez指出,“犯罪者有不同的激發(fā)誘因。有些能獲得此類消息的個(gè)人拿著最低工資,對(duì)于他們來(lái)說(shuō),誘因或許是‘這不是一份能足夠讓我養(yǎng)活自己的工作’。”這位高管聲稱,負(fù)責(zé)照顧病人的護(hù)理院的工作人員,通過(guò)敲幾下鍵盤就能獲得醫(yī)療記錄。根據(jù)美國(guó)勞工統(tǒng)計(jì)局發(fā)布的數(shù)據(jù),此類醫(yī)療保健支持崗位的年收入僅在2.5萬(wàn)美元左右。如此低的薪水或許讓工作人員更易受到監(jiān)守自盜獲益的誘惑。
根據(jù)Verizon的報(bào)告,公共部門、醫(yī)療保健和金融服務(wù)——比如說(shuō)信用卡公司、銀行、抵押貸款和貸款公司——是受內(nèi)幕事故沖擊最嚴(yán)重的行業(yè)。
在近來(lái)曝光的一樁案件中,美國(guó)馬里蘭州巴爾的摩一名男子面臨涉嫌身份盜竊和銀行詐騙等聯(lián)邦指控。在未經(jīng)當(dāng)事人允許的情況下,該男子曾利用至少三名療養(yǎng)院住戶的個(gè)人信息開(kāi)了數(shù)個(gè)信用卡賬戶。Tufts Health Plan一名前員工承認(rèn),自己曾借工作之便盜取姓名、出生日期以及社保數(shù)據(jù),并用這些收取社保福利以及具有欺騙性的個(gè)人所得稅返還。紐約蒙特菲奧醫(yī)療中心的前助理文員指控曾在去年6月份每日印制并出售數(shù)千項(xiàng)病人的記錄。最終,記錄數(shù)據(jù)被用于開(kāi)百貨商店信用卡賬戶。紐約縣地區(qū)檢察官辦公室發(fā)布的數(shù)據(jù)顯示,據(jù)估算此類犯罪行為引發(fā)了至少價(jià)值5萬(wàn)美元的詐騙。
自2007年以來(lái),伴隨著信息數(shù)據(jù)化的上行,局外人實(shí)施的外泄和黑客事件呈現(xiàn)大幅攀升趨勢(shì)。與此同時(shí),內(nèi)部人士制造的泄密事件在整體經(jīng)濟(jì)中也不占少數(shù)。身份竊盜資源中心指出,在經(jīng)濟(jì)衰退期間,內(nèi)幕泄密事件通常會(huì)達(dá)到峰值;當(dāng)經(jīng)濟(jì)發(fā)展勢(shì)頭良好,此類事件會(huì)減少。2009年,內(nèi)幕攻擊在數(shù)據(jù)外泄中所占的比重觸及17%的高位;經(jīng)過(guò)了長(zhǎng)達(dá)三年的下滑,當(dāng)前該比例居于10%上下,而且呈現(xiàn)緩慢上行的軌跡。
律師事務(wù)所Fennemore Craig旗下Lamber Goodnow團(tuán)隊(duì)的代理律師James Goodnow指出,“當(dāng)經(jīng)濟(jì)形勢(shì)不好時(shí),你會(huì)看到很多感到沮喪的人,他們充分利用在經(jīng)濟(jì)形勢(shì)良好時(shí)或許不會(huì)利用的機(jī)會(huì)。”
安全公司Halock Security Labs的高級(jí)合伙人Terry Kurzynski聲稱,精明的企業(yè)會(huì)進(jìn)行全公司范圍內(nèi)的風(fēng)險(xiǎn)評(píng)估,以發(fā)現(xiàn)系統(tǒng)薄弱的地方,以及找到用戶行為的差錯(cuò)。但是,富有經(jīng)驗(yàn)的分析,并不能很大程度地減少員工用低技術(shù)含量的方式獲取信息的發(fā)生。安全公司Dyadic Security的聯(lián)合創(chuàng)始人Guy Peer表示,“絕大多數(shù)的系統(tǒng)無(wú)法處理某個(gè)銀行員工把自己當(dāng)日所看到的銀行數(shù)據(jù)記在紙上,因?yàn)檫@樣的事情很難被追蹤。”
信息技術(shù)公司MetroStar Systems的信息安全主管Clay Calvert認(rèn)為,與員工的溝通非常關(guān)鍵,可以避免有些員工動(dòng)歪腦筋。這位高管聲稱,“溝通可以避免很多身份盜竊案件的發(fā)生。如果一名員工感覺(jué)公司關(guān)心自己,他就不太可能利用職務(wù)之便進(jìn)行身份盜竊。”
文章來(lái)源:機(jī)房專用空調(diào) http://
ot articles