集團資料外洩頻傳 網路資訊安全如何建置?
日前,世界數一數二的某連鎖國際酒店,歷經今年第二次數據資料洩漏情事。今年6月初時有人透過員工電腦非法獲取含客人和工作人員個人資訊、信用卡資料、航班預定紀錄等,據說總共約有20GB、大概影響了400人。
圖片來源:123RF
這起事件給了我們一個啟示,社交工程(social engineering)威脅和人們對於資訊安全的意識薄弱都是個問題。其實這已經是這家知名酒店,在這四年中的第三次類似事件,這樣的現象表明如果企業曾有數據洩漏的歷史,很容易讓人認為該企業沒有堅固的安全控制體制,就很有可能成為其他網路犯罪者的攻擊目標。
人為疏失易讓有心人有機可乘,形成組織風險的一個潛在不定因子,只要得到某位員工在組織中的設備訪問權,就能輕易進入該組織系統、竊取資料。另一方面也有社交工程騙局的案例,攻擊者透過欺騙的方式,使用惡意軟體感染他人設備或使對方交出登錄資料,最典型的案例就是平時常見的釣魚訊息,有時我們會收到陌生電子郵件或簡訊等附有惡意軟體附件或釣魚網站的內容。 不管是安全敏感度多高的人,難免還是會誤入社交工程帶來的問題或陷阱,最根本的預防還是要從資訊安全意識培養做起。企業必須培養員工對於網路釣魚、社交工程、其他可疑可能受操控的方式等知識和危機意識,讓員工可以避免透露任何與企業相關的訊息給網路犯罪者。也有人認為員工應每個月受訓一次,企業也要進行相關模擬訓練,另外企業應該要有檢測方案,定期監測和辨認出異常活動或有風險的訪問、用戶行為。(編譯/施毓萱)
資料來源:https://venturebeat.com/2022/07/07/marriott-social-engineering/
瀏覽 1,510 次