影响数据安全的 5 大人为错误

更严格的数据保护法规迫使企业将数据安全放在首位。然而，大多数公司的员工仍然缺乏强大的网络安全文化。事实上，奥斯特曼研究公司 (Osterman Research) 最近发表的一篇论文报告称，只有不到一半 (42%) 的组织对其员工进行了《通用数据保护条例》(GDPR) 培训，尽管该条例几个月前就已生效。更少（只有 18%）制定了针对员工进行加州消费者隐私法案 (CCPA) 培训的计划；该法案将于 2020 年生效，因此他们可能认为自己有足够的时间。

缺乏培训会增加人为错误的风险，从而导致数据泄露。幸运的是，有一些工具和技术可以帮助您降低人为错误及其后果的风险。以下是用户最常犯的错误，以及您可以而且应该采取的预防措施，以免造成真正的损害。

人为错误#1。陷入网络钓鱼

网络钓鱼是指诈骗者发送看似来自可信来源的恶意电子邮件，以诱使受害者泄露个人信息。根据 2018 年 Verizon 数据泄露报告，网络钓鱼和借口（冒充他人以获取私人信息）占社会泄露事件的 93%，而电子邮件是最常见的攻击媒介 (96%)。

如果公司只在雇用时告诉员工网络安全，而不是建立以安全为中心的文化，那么这种错误的可能性就更大。培训方式的选择也很重要。我建议避开无聊的培训课程；相反，使用五分钟的简短视频来重现现实世界的情况，展示社会工程攻击是如何运作的。

当然，有些人在面对真正的网络钓鱼电子邮件时可能仍然会做出不负责任的行为。根据 2018 年 Verizon 数据泄露报告，4% 的人表示点击可疑附件没什么大不了的。因此，第二个有用的技巧是定期运行网络钓鱼模拟测试，以检查培训是否有效以及员工是否遵循您的信息安全策略。您将识别更有可能点击恶意链接的高风险用户，以便您可以单独与他们合作。最后，您应该实施反垃圾邮件和电子邮件过滤工具以进一步降低风险。

人为错误#2。允许未经授权的用户访问公司设备

根据 Wombat 的 2018 年用户风险报告，55% 的工作成年人允许朋友和家人在家中访问雇主发放的设备。这是网络安全意识差的另一个迹象，因为朋友或家人可能会访问组织的银行账户或客户数据等敏感数据。更糟糕的是，他们可能会下载可以访问公司数据、云应用程序和存储的恶意软件。

雇用时的一次性培训不足以降低这种人为错误的风险。相反，应该引入所有员工都必须遵守的全面信息安全计划，并鼓励团队领导在团队内执行网络安全纪律。

另一个重要措施是对设备和系统实施适当的安全控制。确保所有设备均受密码保护，并在可能的情况下对所有公司设备和应用程序采用双因素身份验证。

人为错误＃3。不良的用户密码做法

根据 Wombat 的 2018 年用户风险报告，66% 不使用密码管理器工具的受访者承认，60% 的在线帐户重复使用密码。这是一种非常危险的做法，因为一旦一个帐户被盗，攻击者就可以访问更广泛的资产。除了密码重复使用之外，其他与密码相关的风险还包括使用明显的密码（例如 123abc、1111）、未能定期更新密码、将密码存储在计算机可触及的范围内以及与他人共享密码。所有这些糟糕的密码做法都会增加公司遭到破坏的风险，因为攻击者可以更轻松地窃取或破解密码。

举办专门针对密码实践的培训课程绝对值得一做。还可以考虑使用在用户登录时推送到用户屏幕上的支持性提示 - 这些提示可以重复培训中强调的要点（例如，“切勿将密码保存在除您之外的任何人都可以访问或查看的地方。”） 。

另一个重要措施是使用密码管理器软件应用程序来生成和检索复杂的凭据并将其存储在加密的数据库中。此外，请考虑使用密码过期工具，该工具会在密码过期前自动提醒用户更改密码，这样您就可以要求定期更改密码，而无需让服务台忙于重置过期密码的电话。

人为错误#4。管理不善的高权限帐户

IT 专业人员也会犯错误，而此类错误往往会给公司带来巨大损失。具有高权限的帐户（例如管理员帐户）功能强大，但防止其滥用的安全控制往往不足。最近的 Netwrix 2018 IT 风险报告显示，只有 38% 的组织每季度更新一次管理员密码；其余的人每年只这样做一次，甚至更少。如果 IT 专业人员未能更新和保护特权帐户的密码，攻击者可以更轻松地破解它们并访问组织的网络。然后，他们可以使用受损的管理凭据绕过各种资源或 IT 系统的访问控制，以访问敏感数据。

必要的预防措施是尽可能对所有帐户和系统实施最小权限原则。不要向多个帐户授予管理权限，而是根据特定应用程序和任务的需要提升权限，仅在需要时的短时间内进行。双因素身份验证也可作为额外的保护层。最后，需要为IT人员建立单独的管理和员工账户；管理员帐户只能用于管理基础设施的特定部分。

人为错误 #5。错误投递

根据 2018 年 Verizon 数据泄露报告，错误传递是导致数据泄露的第四大常见行为。对于医疗保健行业来说，这是一种常见的情况；在一些备受瞩目的案例中，员工将包含 PHI 的电子邮件发送给了错误的收件人。医疗保健领域的人为错误数据泄露中，约 62% 是由误送造成的。

这个错误是最难避免的错误之一；不过，这里有一些提示。考虑要求对包含敏感信息的所有电子邮件进行加密。此外，使用弹出框提醒发件人在通过电子邮件发送敏感数据时仔细检查电子邮件地址。另一个技巧是实施数据丢失防护 (DLP) 解决方案，该解决方案可监视可能导致信息泄露的事件并自动采取行动，例如，阻止用户将敏感数据发送到公司网络之外。

如果仍然发生错误怎么办？

现实情况是，即使公司拥有卓越的网络安全防御，人们仍然会犯错误。复杂的网络钓鱼攻击可能会导致恶意软件在您的网络中发布，管理员可能会授予某人过多的权限，或者某些用户的密码可能会由于不良的密码实践而被破解。事实上，Netwrix 2018 年 IT 风险报告发现，29% 的组织不得不处理去年导致数据泄露的人为错误。

因此，每个组织都应该提高其检测能力，以便能够对可疑或不当事件做出及时响应。例如，您需要快速发现用户活动的峰值，例如大量失败的更改或访问尝试或可疑的大量文件修改，以及常规业务用户对公司敏感数据的异常访问。为了能够主动检测并响应此类可疑活动，请采用用户行为监控方法，使您能够跟踪所有用户（包括特权用户）的活动。

结论

英国信息专员办公室 (ICO) 表示，过去两年英国 88% 的数据泄露是由人为错误造成的，而非黑客攻击。在此期间，报告的事件数量增加了 75%，这至少部分归因于 GDPR 的引入，该法规强制规定了违规通知。

很明显，员工网络安全意识差会对企业产生负面影响。通过认真对待网络安全，您可以最大限度地降低数据泄露和随之而来的损害的风险。为了实现这一目标，您应该为员工制定有效的培训计划并实施技术，使您能够保护最敏感的数据，无论数据位于何处。