資料外洩是一種資安事件,惡意內部人員或外部攻擊者 未經授權存取機密資料或敏感資訊,例如病歷、財務資訊或個人身份資料(PII)。資料外洩是最常見且代價最高的網路安全事件之一。它們影響著各種規模、產業與地域的企業,並以驚人的規律性發生。
根據2019年Ponemon研究機構報告,兩年內發生資料外洩的機率是四分之一。在今天,資料外洩的平均總成本已超過390萬美元(每條資料記錄約150美元),若將其他附加費用(例如增加威脅偵測及回應、客戶通知、聲譽損失及預期的商機損失)考慮在內,付出的成本更為高昂。
資料外洩可能帶來業務損失、鉅額罰款及昂貴的和解費用
在醫療保健及金融服務等受到嚴格管控的產業領域,資料外洩的代價尤其昂貴,個人資料外洩可能產生罰款及法律支出。(Ponemon指出,醫療保健組織資料外洩的平均總成本為645萬美元,金融服務公司則為586萬美元。)
近年來備受矚目的資料外洩事件包括:
- 2019年的一次資料外洩事件暴露了 超過1700萬厄瓜多爾公民 的個人資料。除了規模龐大之外,該外洩事件也因為其外洩資料的深度而備受關注,包括政府官員的身份證號碼、電話號碼、家庭記錄、結婚日期、學歷及工作記錄。
- 2018年,英國政治顧問公司劍橋分析(Cambridge Analytica)在未經同意下從數百萬個臉書用戶檔案收集個人資料,作為政治廣告的投放目標,這件醜聞爆發之後,臉書因未能充份保護其用戶個人資料而付出了663,000美元的罰款(當時所能判處的最高罰款金額)。
- 2017年,Equifax 的一次資料外洩事件導致1.47億人的個人資料被洩露,結果它與信貸報告公司達成7億美元的和解協議,每位消費者可獲得最高20,000美元的賠償金。
資料外洩管道和形式多樣
不良行為者可透過各式各樣的方法取得機密資料。The 身份竊盜資源中心是為身份竊盜受害者提供協助的非營利組織,它追蹤得出 7 種不同類型的資料外洩:
- 意外的Web/網際網路外洩,敏感資料或應用程式憑證意外放置於可從Web或GitHub等公共儲存庫存取的位置。
- 未經授權存取,不良行為者利用身份驗證及授權控制系統的漏洞取得IT系統及機密資料的存取權。
- 傳輸中的資料,犯罪者利用HTTP或其他非安全協定存取未經加密傳輸的敏感資料。
- 員工錯誤/疏忽/不當處置/遺失,不良行為者利用脆弱或未強制執行的公司安全系統 及規範,或取得錯置或不當除役的設備之存取權。
- 駭客/入侵 ,外部攻擊者透過網路釣魚、惡意軟體、勒索軟體、側錄或其他漏洞竊取機密資料。
- 內賊竊盜,現職或前員工 或承包商為惡意目的存取機密資料。
- 實物竊盜 ,從被盜的筆電、智慧型手機或平板電腦中竊取資料。
預防及減少資料外洩
安全專家建議企業採用縱深防禦資安策略,實施多層次防禦來防範及減少廣泛類型的資料外洩。
多層次安全策略包括:
- 特權存取安全解決方案,用於監管及控制特權系統帳號的存取,這經常是惡意內部人員及外部攻擊者的目標。
- 多要素身份驗證解決方案,用於加強身份管理、防止偽冒及降低與裝置遺失或竊盜或弱密碼有關的風險。
- 終端威脅偵測及回應工具,用於自動識別及減少可能導致資料外洩的惡意軟體、網路釣魚、勒索軟體與其他惡意活動。
- 最小特權管理,將存取權限與角色和職責緊密校準,確保各個用戶僅獲得必需的存取權限。這有助於減少攻擊面及遏制某些依靠升級之特權散播的惡意軟體。
