网络安全很重要,因为它可以保护所有类别的数据免遭盗窃和损坏。这包括敏感数据、个人身份信息 (PII)、受保护的健康信息 (PHI)、个人信息、知识产权、数据以及政府和行业信息系统。如果没有网络安全计划,您的组织将无法抵御数据泄露活动,这使其成为网络犯罪分子不可抗拒的目标。
在全球连接和使用云服务(如 Amazon Web Services)存储敏感数据和个人信息的推动下,固有风险和剩余风险都在增加。普遍存在的云服务配置不佳以及日益复杂的网络犯罪分子意味着您的组织遭受成功的网络攻击或数据泄露的风险正在上升。企业领导者不能再仅仅依赖于开箱即用的网络安全解决方案,如防病毒软件和防火墙,网络犯罪分子变得越来越聪明,他们的策略对传统网络防御的抵御能力也越来越强。
网络威胁可能来自组织的任何级别。工作场所必须包括网络安全意识培训,以教育员工了解常见的网络威胁,如社会工程诈骗、网络钓鱼、勒索软件攻击(想想WannaCry)和其他旨在窃取知识产权或个人数据的恶意软件。
数据泄露的激增意味着网络安全不仅与医疗保健等受到严格监管的行业相关。即使是小型企业也有在数据泄露后遭受无法挽回的声誉损失的风险。为了帮助您了解网络安全的重要性,我们编写了一篇文章,解释了您可能不知道的网络犯罪的不同要素。如果您还不担心网络安全风险,那么您应该担心。
什么是网络安全?
网络安全是保护和恢复计算机系统、网络、设备和程序免受任何类型的网络攻击的状态或过程。网络攻击对您的敏感数据来说是一种日益复杂且不断演变的危险,因为攻击者采用由社会工程和人工智能 (AI) 提供支持的新方法来规避传统的数据安全控制。
事实是,世界越来越依赖技术,随着我们引入下一代新技术,这些技术将通过蓝牙和 Wi-Fi 访问我们的连接设备,这种依赖将继续存在。为了在采用新技术的同时保护客户数据,智能云安全解决方案应与多??因素身份验证等强密码策略一起实施,以减少未经授权的访问。
网络安全的重要性
网络安全的重要性正在上升。从根本上说,我们的社会比以往任何时候都更加依赖技术,而且没有迹象表明这种趋势会放缓。可能导致身份盗用的数据泄露现已公开发布在社交媒体账户上。社会安全号码、信用卡信息和银行账户详细信息等敏感信息现在存储在 Dropbox 或 Google Drive 等云存储服务中。
事实上,无论您是个人、小型企业还是大型跨国公司,您每天都依赖计算机系统。再加上云服务的兴起、糟糕的云服务安全性、智能手机和物联网 (IoT),我们面临着数十年前不存在的无数潜在安全漏洞。我们需要了解网络安全和信息安全之间的区别,即使技能组合变得越来越相似。
世界各国政府正在对网络犯罪给予更多关注。GDPR 就是一个很好的例子。它通过迫使在欧盟运营的所有组织:
- 沟通数据泄露
- 任命数据保护官
- 需要用户同意才能处理信息
- 匿名数据以保护隐私
公开披露的趋势不仅限于欧洲。虽然美国没有监督数据泄露披露的国家法律,但所有 50 个州都有数据泄露法律。共同点包括:
- 要求尽快通知受影响的人
- 尽快让政府知道
- 支付某种罚款
加利福尼亚州是 2003 年第一个规范数据泄露披露的州,要求个人或企业“在没有合理延迟的情况下”和“在发现后立即”通知受影响的人。受害者可以起诉最高 750 美元,公司最高可被罚款 7,500 美元。这促使美国国家标准与技术研究院 (NIST) 等标准委员会发布框架,以帮助组织了解其安全风险、改进网络安全措施并防止网络攻击。
为什么网络犯罪越来越多?
信息盗窃是网络犯罪中最昂贵和增长最快的部分。很大程度上是由于身份信息通过云服务越来越多地暴露在网络上。但这不是唯一的目标。管理电网和其他基础设施的工业控制可能会被破坏或破坏。身份盗窃不是唯一目标,网络攻击可能旨在破坏数据完整性(破坏或更改数据),从而在组织或政府中滋生不信任。
网络犯罪分子变得越来越老练,改变了他们的目标、他们如何影响组织以及他们针对不同安全系统的攻击方法。社会工程仍然是最简单的网络攻击形式,勒索软件、网络钓鱼和间谍软件是最简单的入侵形式。处理您的数据并且网络安全实践不佳的第三方和第四方供应商是另一个常见的攻击媒介,这使得供应商风险管理和第三方风险管理变得更加重要。
根据埃森哲和 Ponemon Institute 的第九次网络犯罪成本年度研究,组织的网络犯罪平均成本比去年增加了 140 万美元,达到 1300 万美元,数据泄露的平均数量增加了 11%,达到 145 起。信息风险管理从未像现在这样重要。
数据泄露可能涉及财务信息,例如信用卡号或银行账户详细信息、受保护的健康信息 (PHI)、个人身份信息 (PII)、商业机密、知识产权和其他工业间谍活动的目标。数据泄露的其他术语包括无意的信息泄露、数据泄露、云泄露、信息泄露或数据泄露。
推动网络犯罪增长的其他因素包括:
- 互联网的分布式特性
- 网络犯罪分子攻击其管辖范围以外的目标的能力使得维持治安极为困难
- 在暗网上提高盈利能力和商业便利性
- 移动设备和物联网的普及。
网络犯罪的影响是什么?
影响网络犯罪成本的因素有很多。这些因素中的每一个都可以归因于对最佳网络安全实践的关注不足。缺乏对网络安全的关注可能会以多种方式损害您的业务,包括:
经济成本
盗窃知识产权、公司信息、交易中断和修复受损系统的成本
声誉成本
失去消费者信任、现有和未来客户流失给竞争对手以及媒体报道不佳
监管成本
GDPR和其他数据泄露法律意味着您的组织可能会因网络犯罪而遭受监管罚款或制裁。所有企业,无论规模大小,都必须确保所有员工都了解网络安全威胁以及如何缓解这些威胁。这应该包括定期培训和与之合作的框架,旨在降低数据泄露或数据泄露的风险。
鉴于网络犯罪的性质以及检测的难度,很难理解许多安全漏洞的直接和间接成本。这并不意味着即使是很小的数据泄露或其他安全事件对声誉的损害也不大。如果有的话,随着时间的推移,消费者期望采取越来越复杂的网络安全措施。
如何保护您的组织免受网络犯罪侵害
您可以采取一些简单的步骤来提高安全性并降低网络犯罪风险:
教育员工
人为错误是2019 年 90% 的数据泄露的原因。然而,这一令人担忧的统计数据也有一线希望。如果教员工如何识别和正确应对网络威胁,则可以避免大多数数据泄露事件。此类教育计划还可以增加所有网络安全解决方案投资的价值,因为它可以防止员工在不知不觉中绕过昂贵的安全控制来促进网络犯罪。
保护您的敏感数据
投资于限制信息丢失的工具,监控您的第三方风险和第四方供应商风险,并持续扫描数据暴露和泄露的凭证。数据泄露如果无人看管,可能会帮助网络犯罪分子获得对内部网络的访问权限并破坏敏感资源。实施能够同时监控整个第三方网络的泄漏的数据泄漏发现解决方案非常重要。几乎 60% 的数据泄露是通过受感染的第三方提供商发生的,因此通过关闭供应商数据泄露,可以避免大多数数据泄露事件。
实施第三方风险管理 (TPRM) 解决方案
使用技术降低成本,例如作为整体网络安全风险评估策略的一部分自动发送供应商评估问卷。公司不应该再问为什么网络安全很重要,而是我如何确保我的组织的网络安全实践足以遵守 GDPR 和其他法规并保护我的业务免受复杂的网络攻击。您还可以采取一些实用策略来降低组织的网络安全风险。
受网络攻击和数据泄露影响的公司损失示例
近年来,网络攻击和数据泄露的数量惊人,很容易列出受到影响的家喻户晓的公司。这里只是几个例子。如需完整列表,请参阅我们最大的数据泄露帖子。
Equifax
Equifax 网络犯罪 Equifax 股价在违规后的第二天早盘下跌 13%,并因违规而对 Equifax 提起了许多诉讼。更不用说 Equifax 遭受的声誉损失。2019 年 7 月 22 日,Equifax 同意与 FTC 达成和解,其中包括 3 亿美元的受害者赔偿基金、1.75 亿美元的协议中的州和领地以及 1 亿美元的罚款。
易趣
2014年 攻击者使用一小组员工凭证来访问这些用户数据。被盗信息包括加密密码和其他个人信息,包括姓名、电子邮件地址、实际地址、电话号码和出生日期。在 eBay 进行了长达一个月的调查后,该违规行为于 2014 年 5 月披露。
成人朋友查找器
2016年 FriendFinder Network 包括 Adult Friend Finder、Penthouse.com、Cams.com、iCams.com 和 Stripshow.com 等网站。大多数密码仅受到弱 SHA-1 哈希算法的保护,这意味着到 LeakedSource.com 于 11 月 14 日发布对整个数据集的分析时,其中 99% 的密码已被破解。
雅虎
雅虎披露,2013 年 8 月,一群黑客的违规行为已经破坏了 10 亿个账户。在这种情况下,安全问题和答案也受到损害,增加了身份盗窃的风险。雅虎于 2016 年 12 月 14 日首次报告了这一违规行为,并迫使所有受影响的用户更改密码并重新输入任何未加密的安全问题和答案,以便在未来对其进行加密。然而,到 2017 年 10 月,雅虎将估计数更改为 30 亿用户帐户。调查显示,用户的明文密码、支付卡数据和银行信息并未被盗。尽管如此,这仍然是历史上此类最大的数据泄露事件之一。虽然这些只是一些备受瞩目的数据泄露示例,但重要的是要记住还有更多从未登上首页的案例。