【IT168 评论】长期以来,员工个人数据一直被认为是现代企业网络安全的一个脆弱的威胁载体。然而,尽管比以往任何时候都更多的员工利用身份盗窃和信用监控服务,他们的雇主却很少有任何安全感。
在员工越来越关注个人身份安全的同时,身份盗窃和网络钓鱼攻击的发生率继续飙升。自2018年以来,身份盗窃案件的数量增加了两倍多,而在COVID-19检疫期间,网络钓鱼攻击增长了高达350%。最关键的是,在最近的一项研究中,38%的受访者表示,他们的同事在过去一年中成为网络钓鱼攻击的受害者。
这种悖论的出现是因为大多数个人信息保护解决方案的被动性以及对其为企业带来的好处的误解。与其说是网络保护,许多身份盗窃和信用监控解决方案所提供的实际服务更类似于补救措施。
因此,身份盗窃和信用监控几乎没有为员工或其组织增加个人数据安全。根据我们与各个领域的企业CSO合作的经验,我们甚至发现,过度依赖这类服务的公司经常会在网络威胁面前变得更加脆弱,而不是更加脆弱。雇主越是觉得受到无效系统的保护,员工就越有可能偏离网络卫生的基本原则。
随着更强大的恶意软件、不断收紧的监管环境和更高的消费者安全意识提高了组织网络安全的风险,了解个人数据监控如何影响网络安全从未像现在这样重要。
识别员工在线私人数据造成的安全漏洞
随着真正的保护和虚假的安全之间的差距越来越大,企业需要严格评估他们的个人信息安全态势。随着威胁者使用的社会工程骗局的不断发展,弄清楚什么是保护员工隐私的有效方法变得越来越重要。
鱼叉式网络钓鱼等技术的出现表明,网络犯罪分子如何利用个人信息来提高网络钓鱼攻击的可信度。如果网络犯罪分子能够找到企业网络中某个人的家庭住址、全名或婚姻状况,那么制作一封令人信服的网络钓鱼邮件就变得容易得多。通过利用高管的个人信息来获得公司高层人士的信任,这种做法被称为 "捕鲸",网络犯罪分子可以迅速发起破坏性的网络攻击。
2016年,在对社交媒体公司Snapchat的攻击中,网络犯罪分子冒充其首席执行官以获得高管的信任,导致了员工工资信息的大规模泄露。同样,奥地利航空航天公司FACC的首席执行官因成为捕鲸攻击的受害者而损失了近6000万美元后被解雇。
令人担忧的是,威胁者用来促进这类攻击的个人信息是很容易获得的。无论是作为数据泄露的结果,还是更频繁地通过数据经纪人和人员搜索网站整理的公开信息,员工的个人信息往往很容易获得。
随着大多数美国公司对员工使用社交媒体的网络安全影响的关注,员工本身也可能成为造成个人信息安全漏洞的连环杀手。
个人信息安全解决方案格局
为了应对个人信息带来的日益增长的威胁,信息保护解决方案的市场正在迅速扩大,预计未来6年的复合年增长率(CAGR)将达到13%。
然而,许多组织渴望为员工提供更多的保护,作为企业福利方案的一部分,但却不清楚这种保护究竟是如何运作的。为了帮助澄清这个问题,将信息安全解决方案视为属于三个主要类别之一是很有帮助的。
1.信用监控
通过扫描三大信用监测机构--Equifax、TransUnion和Experian--的个人信用文件的变化,信用监测服务使个人能够在一个地方关注他们的信用评分。
虽然任何人都可以自己检查他们的信用分数,但付费的信用监测服务使这个过程自动化,使个人更容易跟踪变化。
对于雇员来说,信用监测作为工作场所福利的优势在于能够注意到他们的信用分数的突然变化,这表明他们是欺诈的受害者。
2.身份盗窃保护
与信用监测服务一样,身份盗窃保护解决方案最好被认为是个人信息的保险政策。然而,由Identity Guard、Norton和OneRep等供应商提供的这类产品,不仅仅是查看个人的信用分数,还更进一步。
除了进行信用检查外,身份盗窃保护还对法院记录、贷款申请和公用事业订单等事项进行了更全面的检查,以了解个人的个人信息是否被欺诈性地使用。
随着身份盗窃影响到创纪录的美国人,身份盗窃保护现在是一个受欢迎的选择性福利。
3.隐私保护
信用监控和身份盗窃保护服务提供了保险,即如果员工的信息被滥用,他们会得到通知,但它们对提高企业的网络安全没有什么作用。
当员工从这些服务中看到真正的好处时,他们的数据已经暴露,并给他们的雇主带来了新的网络安全风险。信用和身份保护的被动性也意味着,虽然个人可以更快、更容易地发现和补救欺诈行为,但个人数据暴露的问题仍然突出。
像DeleteMe提供的服务一样,隐私保护解决方案致力于解决个人数据暴露问题的根源。通过寻找和消除个人的个人和专业数据的不必要的暴露,主动的隐私保护首先大大降低了欺诈发生的可能性。
对于企业来说,这种解决方案还可以通过最大限度地减少员工个人信息的泄露来加强网络安全,并反过来从威胁者手中夺走宝贵的弹药。
在你的组织中制定一个积极的个人信息隐私的方法
虽然每一种解决方案都有它的位置,但对员工个人信息的真正保护来自于一个分层的方法。
在最基本的层面上,员工需要接受实际培训,了解如何在工作和家庭中尽量减少他们的个人信息足迹。除了强调对个人信息采取不安全方法的潜在安全风险外,有效的培训还应该向员工展示隐私带来的好处(即减少垃圾邮件和提高个人安全)。
然而,仅靠培训是很少有效的。虽然定期培训很关键,但教员工如何发现社会工程骗局的安全意识培训项目通常在几个月内就会被遗忘,需要不断加强才能保持效果。
在培训的基础上,员工的个人信息也应该通过主动的个人信息检索和删除服务来保护。归根结底,保护员工和企业免受那种利用个人信息的欺诈的最好方法是在源头上切断个人数据的供应。
信用监控和身份保护服务可以构成积极主动方法的第三层。虽然这些服务对提高企业安全没有什么作用,但它们可以帮助让员工放心,如果他们的数据被滥用,他们会在问题失去控制之前发现。
写在最后
即使它没有出现在企业的资产负债表上,员工的个人信息也是企业的宝贵资产。随着90%以上的企业经常遭遇有针对性的网络钓鱼攻击,最大限度地减少员工数据暴露需要成为每个企业安全态势的关键部分。
然而,企业需要创建一个分层的、主动的解决方案,提供真正的安全价值,而不是向员工提供只在事后发挥作用的解决方案。员工隐私太重要了,不能只停留在个人问题上。