数据保护的现状

数据保护对企业至关重要。即使是单个网络攻击也可能导致毁灭性的数据泄露，例如今年6月发现的MOVEit供应链网络攻击，截至2023年9月26日已影响到2040个组织和5570万至6060万个人，受害者数量仍在增长。

网络安全管理中心调查显示，近三分之一（29%）的受访者将安全数据管理列为2023年网络安全投资重点。此外，安全访问和基础安全基础、网络安全卫生分别被24%和23%的受访者列为投资重点。

新加坡社会科学大学网络安全与治理研究员Anthony Lim指出，有效保护数据需要确保基本的数据网络安全策略、解决方案和实践到位，包括：

• 适当的密码和认证机制，包括使用双因素认证
• 尽可能进行数据加密
• 数据泄露预防解决方案
• 网络分段和访问控制
• 最小权限和零信任原则
• 防火墙、防病毒或反恶意软件
• 监控和记录网络及数据移动活动
• 持续修补和更新软件应用程序、操作系统、中间件等

在非网络威胁相关问题中，38%的专业人士指出缺乏全公司范围的网络安全培训/理解，超过三分之一（36%）表示难以将网络安全融入公司文化，三分之一（33%）表示网络安全解决方案缺乏预算。

不良数据保护导致的问题

软件配置错误

四分之一（25%）的网络安全专业人士表示他们的公司正在投资云安全能力。随着更多公司投资并迁移到云端，他们应意识到云在数据保护方面可能带来的风险。

2023年3月6日，美国政府的健康保险提供商DC Health Link遭受数据泄露，影响超过5万人。此次泄露是由配置错误的云服务器引起的，据执行董事Mila Kofman称，这是人为错误而非恶意意图造成的。

人为错误

电信公司Verizon发现，74%的数据泄露包含人为因素。例如，2023年8月8日，北爱尔兰警察局（PSNI）发生"重大事件"，所有PSNI成员的个人识别信息被意外发布在网上。

PSNI高级信息风险负责人Chris Todd助理首席警官表示，这起"不可接受"的网络安全事件最终归因于"人为错误"。

阿斯顿马丁首席信息安全官Robin Smith建议采用亲社会方法进行网络安全培训：

• 工作：充分理解员工体验
• 定义：处理并综合发现形成以员工为中心的视图
• 构思：探索各种可能的解决方案
• 原型：将想法转化为具体行动计划
• 测试：使用观察和反馈完善原型想法

针对性网络攻击

公司有责任充分保护其持有的数据，因为这些数据经常成为恶意行为者的目标。恶意行为者会瞄准个人识别信息和其他机密信息，以便在暗网上出售给其他黑客，或操纵目标支付赎金。

2022年10月发生的Medibank数据泄露事件显示了针对性网络攻击的毁灭性影响。恶意行为者获得了970万过去和现在客户的未经授权访问和数据窃取。

确保良好的数据保护和隐私

新加坡大学的Lim分享说，组织管理者和网络安全专业人员需要有一个中央政策和清晰的数据可见性，了解数据存储位置以及谁监督和授权此数据存储过程。

同样，Lim建议必须强制执行集中管理的数据分类系统。这确保了对公司数据的完整概览，并将其"从技术或操作问题转变为管理、政治和官僚领域"。

标准 Chartered银行信息与网络安全威胁政策实施负责人Sourabh Haldar解释了网络弹性的益处：“网络弹性考虑了威胁的所有可能影响以及如何应对。例如，在制定网络弹性安全策略时，网络安全专业人员可能会考虑如果一个非常高级的持久威胁行为者突破了公司边界并在其网络中停留六个月会发生什么。”

最终意见

网络安全团队在充分保护个人、机密和专有数据方面面临艰巨挑战。外部威胁（如网络攻击）和内部威胁（如人为错误）都使这些数据面临泄露风险。

然而，通过实施专注于提高网络安全威胁整体意识的强大网络安全培训，可以减少数据泄露的可能性。通过专注于创建强大的事件响应计划、风险管理和网络弹性，网络安全团队可以确保其公司数据保持受保护状态。