根据Code42的一项研究,内部人员导致的数据泄露事件造成的数据丢失预计在2024年会不断累积,一次事件就可能会产生高达1500万美元的损失。
这项研究调查了700位受访者,其中包括美国的网络安全从业人员(300人)、网络安全经理(200人)和网络安全主管(200人)。结果显示,网络安全人员普遍感到疲惫不堪,受访者表示他们平均每天要花3小时来处理由内部人员引起的数据事件。
Code42总裁兼首席执行官Joe Payne表示:“除了财务、知识产权和时间损失之外,数据丢失事件也正在影响员工的士气。根据调查,大约有十分之六的网络安全人员表示,由于员工造成的数据丢失事件,他们的工作满意度受到了负面影响(64%);同样比例的人认为,他们可能因为未解决的内部违规行为而丢掉工作(62%)”。
许多受访者担忧,在使用生成式人工智能工具的过程中,可能会无意间将敏感信息泄露给竞争对手。
根据研究显示,自2021年至今,每个月因内部人员导致的数据泄露、丢失、被盗等安全事件平均增长了28%。大多数受访者(85%)预计这种趋势在未来一年内仍将持续。
内部人员导致的数据丢失是指员工有意或无意泄露的信息,这些信息可能会被外部各方利用。这可能涉及一系列案例,Payne解释道。
他说:“我们已经看到了你们所做的事情。”,“销售人员从Salesforce获取数据,并将它们上传到Dropbox。财务人员正在获取公司的财务信息,并通过电子邮件将其发送到他们的雅虎账户。人力资源人员正在使用Airdrop获取敏感的工资数据。然而,最近我们发现增长最快、最可怕的事情是软件开发人员在他们的终端上使用git命令将源代码推送到他们自己的个人云存储库,比如GitLab或GitHub。”
虽然几乎所有(99%)的受访者都声称公司都有数据保护系统,但是有78%的网络安全主管承认他们在2023年仍然存在敏感数据泄露的情况。同时,调查结果显示,在过去的一年中,有55%的数据泄露事件是由内部人员故意造成的,而另外45%则是由于员工的疏忽导致的。
79%的受访者表示,他们公司的网络安全团队存在技能不足的问题,这使得他们不得不转向利用人工智能技术(占83%)。此外,有92%的受访者依赖于GenAI工具来处理相关事务,这可能会带来内部威胁风险。
另外,有73%的受访者表示,他们对数据法规还不太清楚。同时,也有68%的受访者对自己的公司是否遵守了新的数据保护法持怀疑态度。
Payne解释说:“不明确的指导方针可能是通用的或是泛泛的规定,这使得人们难以了解哪些技术及流程能让一个机构达到合规标准。审计人员和网络安全团队需要共同努力,以符合公司需求的方式满足合规要求。”
据Payne称,造成数据泄露事件的三大主要因素是数据的高度可移植性,大多数组织中可用的多种传送通道以及完全分布式的员工队伍。
Payne解释道:"现在,你无需再像以前那样偷偷从文件柜中复制文件以窃取公司的机密信息了。" "如今,在大多数组织中,所有事物都已实现数字化,而相同的云计算技术则让员工能够轻松连接、创建和协同工作。同时,这也使得泄露客户名单、源代码以及IP等关键数据变得更为便捷且迅速。"
此外,远程工作的员工常常不遵守良好的安全实践,例如使用Dropbox、个人Gmail、Airdrop等未经许可且不安全的共享工具,这无疑增加了安全风险,Payne补充说。
大量(85%)受访者认为,他们公司的敏感数据越来越容易受到新人工智能技术的影响。87%的受访者表示担心通过将敏感数据输入GenAI而无意中将其暴露给竞争对手。同样数量的公司也担心他们的员工没有遵守GenAI政策。
Payne说,"各行各业的员工正在利用人工智能来简化工作流程,自动执行重复的任务,并基于数据分析做出决策。然而,员工与这些工具共享的任何敏感或机密数据可能会脱离员工的掌控,从而增加合规义务和知识产权保护的风险。"
调查显示,受访者希望更深入地了解存入仓库的源代码(88%)、上传至个人云账户的文件(87%)以及从CRM系统下载的数据(90%)。
Payne强调,公司应寻找一种方案,以监控云和人工智能工具中数据的流动,解决跨平台和系统间的差异,以及实现对数据源、类型和目的地的全面可见性。
* 本文为陈发明编译,图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
更多推荐
原文始发于微信公众号(数世咨询):由内部人员造成的数据泄露可能会给您造成超过1500万美元的损失
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论