國內資安防護再度受到考驗,根據賽門鐵克調查顯示,今(2012)年1月到8月期間,國內企業的資料外洩案件,大約有4成屬於駭客攻擊的結果,但另一個引人注目的發現,竟是「內部人為疏失」造成的資料外洩案件,也占4成多的比例,其中包含內部人員疏失、資料遺失遭竊、蓄意偷取資料等。
新版個資法已於今年10月1日正式生效,但仍有許多企業並不了解施行細則的意義,或是對資訊安全防護措施是否完備充滿疑惑。
從去年(2011)的調查結果來看,原本每10筆遭外洩的資料有8筆是來自資訊科技及電腦軟體產業;但今年的調查結果顯示,資料外洩數量的前兩名已被零售業(40%)及電信業者(15%)取代。
賽門鐵克表示,「駭客攻擊」、「內部人員疏失」和「資料遺失」是企業資料外洩的主要原因。但最值得注意的是「內部人員疏失」和「資料遺失」等內部人為因素,已經與「駭客攻擊」等外部攻擊的比例相當。若進一步探究真實狀況,發生情況包括行動裝置遺失、經由外接儲存裝置造成的資料外洩、企業內部間諜、因訪客與廠商造成的資料外洩等。
賽門鐵克認為,這也突顯資訊安全防護是一項全面性的管理,必須包含主機安全防護、資料加密、資料外洩防護、日誌管理等。
另外,調查也發現,去年5月至12月間,單次資料外洩事件導致的資料外洩筆數,平均超過131萬筆,而今年已大幅降低至約64萬筆。
賽門鐵克分析,可能由於去年的大型惡意網路攻擊影響,讓越來越多的大型企業開始重視客戶紀錄資料庫的保護,但也有可能是因為駭客不再只是鎖定大型企業,轉而瞄準較有價值的資料儲存處出手,因此想要遏止資料外洩,企業採取的措施,必須持續加強。
