資料外泄
資料外泄屬於網絡安全事件,涉及未經授權下接達、更改、移除或披露個人或公司等資料。導致資料外泄的原因有多種,例如針對電腦系統的網絡攻擊、內部人員的惡意行為或員工的疏忽行為等。網絡罪犯可能會利用外泄的資料盜用身分或達到其他欺詐目的。
近年來,資料外泄帶來的威脅日益嚴重。根據一間資訊保安軟件公司在2019年進行的調查結果發現,2019年首六個月的資料外泄事件報告宗數較2018年同期增加了54%。在2019年上半年,共有3 800宗資料外泄事件,涉及超過41億項資料被公開披露。資料外泄不僅會損害受影響公司的聲譽,還會對其造成有形和無形的巨大損失。
資料外泄的成因是什麼?
為了減低資料外泄的風險,對以下導致資料外泄的主要成因有所了解十分重要:
仿冒詐騙是造成資料外泄的最常見成因。網絡罪犯可能假裝成可信或合法組織進行仿冒詐騙,通過建立欺詐網站或發送偽冒電子郵件,誘騙用戶點擊惡意網頁的超連結。
當用戶點擊這些超連結時,他們會被連接至惡意網頁,而該頁面能盜取他們的登入憑證資料,或利用瀏覽器或操作系統中的漏洞在用戶的系統上執行惡意程式碼。網絡罪犯因此得以接達受害者系統中的敏感資料,甚至能夠在系統網絡中橫向移動以搜尋並盜取有價值的資料。
例子
2019年,一間航空公司有兩名員工的帳戶遭到仿冒詐騙攻擊而導致資料外泄。該航空公司內部文件中所載有的數以十萬計可識別個人身分的資料,相信已外泄並落入網絡罪犯手上。
網絡罪犯可以利用各種系統和應用程式中的漏洞,例如:
網絡罪犯可使用漏洞攻擊套件並利用軟件漏洞進行掃描和破解,讓他們在不被發現的情況下獲取用戶的登入認證資料或收集商業資料。
舉例來說,插入攻擊是其中一種最常見的網絡攻擊手法。網絡罪犯將特製的查詢或代碼插入使用例如結構化查詢語言或輕型目錄存取協議等程式語言的系統或網絡應用程式中,從而執行遠端指令,控制受感染的系統並接達其中資料。
例子
2017年,一家信用報告機構因沒有修補軟件漏洞而導致其以億計的消費者資料外泄。儘管相關的修補程式早在事發前已經推出,惟該公司卻未能及時安裝,以致發生資料外泄事件。
錯誤的系統或網絡設定能做成漏洞,導致如資料外泄等嚴重安全事件。錯誤的設定可能會在電腦系統不同的層面中出現,例如:
例子
2019年,一家資訊科技公司由於資料庫內錯誤的網絡安全設定而暴露了以億計的客戶記錄,任何人無需身分認證都可以使用網絡瀏覽器接達未經加密的資料。
由於日常運作上的需要,一些用戶例如現職僱員或前僱員、第三方合約承辦商或服務供應商等都可能有權限接達敏感資料或特權系統。由於他們可能將資料作非法用途,例如將商業資料出售與公司的競爭對手,因此有機會會構成潛在威脅。另一方面,一些沒有惡意的用戶亦可能因為疏忽,例如丟失存有敏感資料的隨身裝置,因而令敏感資料外泄。
例子
2019年,一間銀行發現有數百萬可識別個人身分的資料外泄。竊取有關客戶資料的人為一名銀行內部員工,該名員工收集客戶資料並與銀行以外的第三方共享。
資料外泄的影響
不同地區均已實施有關資料外泄的法律和規例,根據相關法律和規例,資料的控制者和處理者有法律責任正確處理和保護個人資料,其中幾條為人熟悉的法例包括香港的《個人資料(私隱)條例》和歐盟的《通用數據保障條例》。不遵守相關法律和規例的公司可能會面臨監管機構的法律行動(例如罰款和監禁)。
公司可能會因資料外泄而遭受巨大的財務損失。資料外泄可能會影響或破壞公司的日常運作,導致生意上的損失。其他財務後果包括需要向受資料外泄影響的客戶作出補償及支付和解費用,並且要支付法律服務、應對外泄情況和調查等費用。
資料外泄會嚴重損害公司的品牌和聲譽,並對現有及準客戶產生負面形象。客戶和生意夥伴可能因此對相關公司失去信任並終止合作關係。
防範措施
應對資料外泄事件
發生資料外泄時,相關公司應該考慮以下步驟,以有效地應對事件:
延伸閱讀
免責聲明:用戶亦應留意網絡安全資訊站中的免責聲明。在下載及使用保安軟件或工具前,請細閱相關的用戶協議和私隱政策。