信息化觀察網(wǎng)

長期以來，員工個人數(shù)據(jù)一直被認(rèn)為是現(xiàn)代企業(yè)網(wǎng)絡(luò)安全的一個脆弱的威脅載體。然而，盡管比以往任何時候都更多的員工利用身份盜竊和信用監(jiān)控服務(wù)，他們的雇主卻很少有任何安全感。

在員工越來越關(guān)注個人身份安全的同時，身份盜竊和網(wǎng)絡(luò)釣魚攻擊的發(fā)生率繼續(xù)飆升。自2018年以來，身份盜竊案件的數(shù)量增加了兩倍多，而在COVID-19檢疫期間，網(wǎng)絡(luò)釣魚攻擊增長了高達(dá)350%。最關(guān)鍵的是，在最近的一項研究中，38%的受訪者表示，他們的同事在過去一年中成為網(wǎng)絡(luò)釣魚攻擊的受害者。

這種悖論的出現(xiàn)是因為大多數(shù)個人信息保護(hù)解決方案的被動性以及對其為企業(yè)帶來的好處的誤解。與其說是網(wǎng)絡(luò)保護(hù)，許多身份盜竊和信用監(jiān)控解決方案所提供的實際服務(wù)更類似于補救措施。

因此，身份盜竊和信用監(jiān)控幾乎沒有為員工或其組織增加個人數(shù)據(jù)安全。根據(jù)我們與各個領(lǐng)域的企業(yè)CSO合作的經(jīng)驗，我們甚至發(fā)現(xiàn)，過度依賴這類服務(wù)的公司經(jīng)常會在網(wǎng)絡(luò)威脅面前變得更加脆弱，而不是更加脆弱。雇主越是覺得受到無效系統(tǒng)的保護(hù)，員工就越有可能偏離網(wǎng)絡(luò)衛(wèi)生的基本原則。

隨著更強大的惡意軟件、不斷收緊的監(jiān)管環(huán)境和更高的消費者安全意識提高了組織網(wǎng)絡(luò)安全的風(fēng)險，了解個人數(shù)據(jù)監(jiān)控如何影響網(wǎng)絡(luò)安全從未像現(xiàn)在這樣重要。

識別員工在線私人數(shù)據(jù)造成的安全漏洞

隨著真正的保護(hù)和虛假的安全之間的差距越來越大，企業(yè)需要嚴(yán)格評估他們的個人信息安全態(tài)勢。隨著威脅者使用的社會工程騙局的不斷發(fā)展，弄清楚什么是保護(hù)員工隱私的有效方法變得越來越重要。

魚叉式網(wǎng)絡(luò)釣魚等技術(shù)的出現(xiàn)表明，網(wǎng)絡(luò)犯罪分子如何利用個人信息來提高網(wǎng)絡(luò)釣魚攻擊的可信度。如果網(wǎng)絡(luò)犯罪分子能夠找到企業(yè)網(wǎng)絡(luò)中某個人的家庭住址、全名或婚姻狀況，那么制作一封令人信服的網(wǎng)絡(luò)釣魚郵件就變得容易得多。通過利用高管的個人信息來獲得公司高層人士的信任，這種做法被稱為"捕鯨"，網(wǎng)絡(luò)犯罪分子可以迅速發(fā)起破壞性的網(wǎng)絡(luò)攻擊。

2016年，在對社交媒體公司Snapchat的攻擊中，網(wǎng)絡(luò)犯罪分子冒充其首席執(zhí)行官以獲得高管的信任，導(dǎo)致了員工工資信息的大規(guī)模泄露。同樣，奧地利航空航天公司FACC的首席執(zhí)行官因成為捕鯨攻擊的受害者而損失了近6000萬美元后被解雇。

令人擔(dān)憂的是，威脅者用來促進(jìn)這類攻擊的個人信息是很容易獲得的。無論是作為數(shù)據(jù)泄露的結(jié)果，還是更頻繁地通過數(shù)據(jù)經(jīng)紀(jì)人和人員搜索網(wǎng)站整理的公開信息，員工的個人信息往往很容易獲得。

隨著大多數(shù)美國公司對員工使用社交媒體的網(wǎng)絡(luò)安全影響的關(guān)注，員工本身也可能成為造成個人信息安全漏洞的連環(huán)殺手。

個人信息安全解決方案格局

為了應(yīng)對個人信息帶來的日益增長的威脅，信息保護(hù)解決方案的市場正在迅速擴大，預(yù)計未來6年的復(fù)合年增長率(CAGR)將達(dá)到13%。

然而，許多組織渴望為員工提供更多的保護(hù)，作為企業(yè)福利方案的一部分，但卻不清楚這種保護(hù)究竟是如何運作的。為了幫助澄清這個問題，將信息安全解決方案視為屬于三個主要類別之一是很有幫助的。

1.信用監(jiān)控

通過掃描三大信用監(jiān)測機構(gòu)--Equifax、TransUnion和Experian--的個人信用文件的變化，信用監(jiān)測服務(wù)使個人能夠在一個地方關(guān)注他們的信用評分。

雖然任何人都可以自己檢查他們的信用分?jǐn)?shù)，但付費的信用監(jiān)測服務(wù)使這個過程自動化，使個人更容易跟蹤變化。

對于雇員來說，信用監(jiān)測作為工作場所福利的優(yōu)勢在于能夠注意到他們的信用分?jǐn)?shù)的突然變化，這表明他們是欺詐的受害者。

2.身份盜竊保護(hù)

與信用監(jiān)測服務(wù)一樣，身份盜竊保護(hù)解決方案最好被認(rèn)為是個人信息的保險政策。然而，由Identity Guard、Norton和OneRep等供應(yīng)商提供的這類產(chǎn)品，不僅僅是查看個人的信用分?jǐn)?shù)，還更進(jìn)一步。

除了進(jìn)行信用檢查外，身份盜竊保護(hù)還對法院記錄、貸款申請和公用事業(yè)訂單等事項進(jìn)行了更全面的檢查，以了解個人的個人信息是否被欺詐性地使用。

隨著身份盜竊影響到創(chuàng)紀(jì)錄的美國人，身份盜竊保護(hù)現(xiàn)在是一個受歡迎的選擇性福利。

3.隱私保護(hù)

信用監(jiān)控和身份盜竊保護(hù)服務(wù)提供了保險，即如果員工的信息被濫用，他們會得到通知，但它們對提高企業(yè)的網(wǎng)絡(luò)安全沒有什么作用。

當(dāng)員工從這些服務(wù)中看到真正的好處時，他們的數(shù)據(jù)已經(jīng)暴露，并給他們的雇主帶來了新的網(wǎng)絡(luò)安全風(fēng)險。信用和身份保護(hù)的被動性也意味著，雖然個人可以更快、更容易地發(fā)現(xiàn)和補救欺詐行為，但個人數(shù)據(jù)暴露的問題仍然突出。

像DeleteMe提供的服務(wù)一樣，隱私保護(hù)解決方案致力于解決個人數(shù)據(jù)暴露問題的根源。通過尋找和消除個人的個人和專業(yè)數(shù)據(jù)的不必要的暴露，主動的隱私保護(hù)首先大大降低了欺詐發(fā)生的可能性。

對于企業(yè)來說，這種解決方案還可以通過最大限度地減少員工個人信息的泄露來加強網(wǎng)絡(luò)安全，并反過來從威脅者手中奪走寶貴的彈藥。

在你的組織中制定一個積極的個人信息隱私的方法

雖然每一種解決方案都有它的位置，但對員工個人信息的真正保護(hù)來自于一個分層的方法。

在最基本的層面上，員工需要接受實際培訓(xùn)，了解如何在工作和家庭中盡量減少他們的個人信息足跡。除了強調(diào)對個人信息采取不安全方法的潛在安全風(fēng)險外，有效的培訓(xùn)還應(yīng)該向員工展示隱私帶來的好處(即減少垃圾郵件和提高個人安全)。

然而，僅靠培訓(xùn)是很少有效的。雖然定期培訓(xùn)很關(guān)鍵，但教員工如何發(fā)現(xiàn)社會工程騙局的安全意識培訓(xùn)項目通常在幾個月內(nèi)就會被遺忘，需要不斷加強才能保持效果。

在培訓(xùn)的基礎(chǔ)上，員工的個人信息也應(yīng)該通過主動的個人信息檢索和刪除服務(wù)來保護(hù)。歸根結(jié)底，保護(hù)員工和企業(yè)免受那種利用個人信息的欺詐的最好方法是在源頭上切斷個人數(shù)據(jù)的供應(yīng)。

信用監(jiān)控和身份保護(hù)服務(wù)可以構(gòu)成積極主動方法的第三層。雖然這些服務(wù)對提高企業(yè)安全沒有什么作用，但它們可以幫助讓員工放心，如果他們的數(shù)據(jù)被濫用，他們會在問題失去控制之前發(fā)現(xiàn)。

寫在最后

即使它沒有出現(xiàn)在企業(yè)的資產(chǎn)負(fù)債表上，員工的個人信息也是企業(yè)的寶貴資產(chǎn)。隨著90%以上的企業(yè)經(jīng)常遭遇有針對性的網(wǎng)絡(luò)釣魚攻擊，最大限度地減少員工數(shù)據(jù)暴露需要成為每個企業(yè)安全態(tài)勢的關(guān)鍵部分。

然而，企業(yè)需要創(chuàng)建一個分層的、主動的解決方案，提供真正的安全價值，而不是向員工提供只在事后發(fā)揮作用的解決方案。員工隱私太重要了，不能只停留在個人問題上。