资料外泄
资料外泄属于网络安全事件,涉及未经授权下接达、更改、移除或披露个人或公司等资料。导致资料外泄的原因有多种,例如针对电脑系统的网络攻击、内部人员的恶意行为或员工的疏忽行为等。网络罪犯可能会利用外泄的资料盗用身分或达到其他欺诈目的。
近年来,资料外泄带来的威胁日益严重。根据一间资讯保安软件公司在2019年进行的调查结果发现,2019年首六个月的资料外泄事件报告宗数较2018年同期增加了54%。在2019年上半年,共有3 800宗资料外泄事件,涉及超过41亿项资料被公开披露。资料外泄不仅会损害受影响公司的声誉,还会对其造成有形和无形的巨大损失。
资料外泄的成因是什么?
为了减低资料外泄的风险,对以下导致资料外泄的主要成因有所了解十分重要:
仿冒诈骗是造成资料外泄的最常见成因。网络罪犯可能假装成可信或合法组织进行仿冒诈骗,通过建立欺诈网站或发送伪冒电子邮件,诱骗用户点击恶意网页的超连结。
当用户点击这些超连结时,他们会被连接至恶意网页,而该页面能盗取他们的登入凭证资料,或利用浏览器或操作系统中的漏洞在用户的系统上执行恶意程式码。网络罪犯因此得以接达受害者系统中的敏感资料,甚至能够在系统网络中横向移动以搜寻并盗取有价值的资料。
例子
2019年,一间航空公司有两名员工的帐户遭到仿冒诈骗攻击而导致资料外泄。该航空公司内部文件中所载有的数以十万计可识别个人身分的资料,相信已外泄并落入网络罪犯手上。
网络罪犯可以利用各种系统和应用程式中的漏洞,例如:
网络罪犯可使用漏洞攻击套件并利用软件漏洞进行扫描和破解,让他们在不被发现的情况下获取用户的登入认证资料或收集商业资料。
举例来说,插入攻击是其中一种最常见的网络攻击手法。网络罪犯将特制的查询或代码插入使用例如结构化查询语言或轻型目录存取协议等程式语言的系统或网络应用程式中,从而执行远端指令,控制受感染的系统并接达其中资料。
例子
2017年,一家信用报告机构因没有修补软件漏洞而导致其以亿计的消费者资料外泄。尽管相关的修补程式早在事发前已经推出,惟该公司却未能及时安装,以致发生资料外泄事件。
错误的系统或网络设定能做成漏洞,导致如资料外泄等严重安全事件。错误的设定可能会在电脑系统不同的层面中出现,例如:
例子
2019年,一家资讯科技公司由于资料库内错误的网络安全设定而暴露了以亿计的客户记录,任何人无需身分认证都可以使用网络浏览器接达未经加密的资料。
由于日常运作上的需要,一些用户例如现职雇员或前雇员、第三方合约承办商或服务供应商等都可能有权限接达敏感资料或特权系统。由于他们可能将资料作非法用途,例如将商业资料出售与公司的竞争对手,因此有机会会构成潜在威胁。另一方面,一些没有恶意的用户亦可能因为疏忽,例如丢失存有敏感资料的随身装置,因而令敏感资料外泄。
例子
2019年,一间银行发现有数百万可识别个人身分的资料外泄。窃取有关客户资料的人为一名银行内部员工,该名员工收集客户资料并与银行以外的第三方共享。
资料外泄的影响
不同地区均已实施有关资料外泄的法律和规例,根据相关法律和规例,资料的控制者和处理者有法律责任正确处理和保护个人资料,其中几条为人熟悉的法例包括香港的《个人资料(私隐)条例》和欧盟的《通用数据保障条例》。不遵守相关法律和规例的公司可能会面临监管机构的法律行动(例如罚款和监禁)。
公司可能会因资料外泄而遭受巨大的财务损失。资料外泄可能会影响或破坏公司的日常运作,导致生意上的损失。其他财务后果包括需要向受资料外泄影响的客户作出补偿及支付和解费用,并且要支付法律服务、应对外泄情况和调查等费用。
资料外泄会严重损害公司的品牌和声誉,并对现有及准客户产生负面形象。客户和生意伙伴可能因此对相关公司失去信任并终止合作关系。
防范措施
应对资料外泄事件
发生资料外泄时,相关公司应该考虑以下步骤,以有效地应对事件:
延伸阅读
免责声明:用户亦应留意网络安全资讯站中的免责声明。在下载及使用保安软件或工具前,请细阅相关的用户协议和私隐政策。