研究顯示大部份企業數據外洩因員工而起

提到網絡安全，很多時除了與網絡黑客、病毒等有關之外，其實另一個會嚴重影響企業網絡安全的因素往往是由於員工不小心而引起的，而最近一份調查報告便證實了有關的言論。

該報告由 Ponemon Institute 進行，名為 The Human Factor in Data Protection，當中指出很多數據外洩都是因為機構員工疏忽或蓄意造成。超過 78% 受訪者指員工有意或無意的行為是數據外洩的主因，並指其機構於過去兩年內至少發生一宗數據外洩。

數據外洩的三大起因，分別是員工遺失筆記簿電腦或其他流動數據儲存裝置 (35%)、發生第三方不幸事故或失誤 (32%)，以及系統故障 (29%)。此外，近 70% 受訪者同意或十分同意其機構現時的數據保安措施不足以抵禦針對性攻擊或黑客。是次調查訪問了 709 名美國資訊科技和資訊科技保安從業員。

報告顯示，56% 受訪者指出，縱使員工無意犯錯，大部份數據外洩事件都只是意外被揭發，只有 19% 受訪者表示員工自行申報數據外洩事故，因此難以及時解決問題。37% 受訪者表示外洩由審計或評估揭發，而 36% 受訪者表示外洩由數據保安技術發現。

中小企風險最大

研究人員針對員工少於 100 人的企業進行獨立分析，結果顯示中小企員工不當處理數據的風險高於大型企業。總體來說，中小企的數據外洩發生比率為 81%，略高於大型企業的 78%，原因是員工未有妥善處理敏感數據。

報告顯示中小企員工較多作出「高風險」行為；58% 中小企員工表示會或曾經開啟濫發訊息內的附件或網站連結，而大企業內只有 39% 員工作出此等行徑；77% 中小企員工表示會或曾經隨意放置已開啟的電腦，只有 62% 大企業員工有此行徑。是次調查並發現超過半數 (55%) 中小企員工較可能違規瀏覽受限制的網站，有此習慣的大企業員工只有 43%。

大部份 (65%) 較小型機構表示，其機構內的敏感或機密業務訊息一般沒有加密，亦沒有部署數據損失防護技術。此外，較小型機構員工花時間進行數據防護或安裝適當技術來避免數據損失的比率亦較低：62% 機構相信他們未有受到保護，當中，65% 認為是由於有關技術過於昂貴，54% 則認為這些技術太複雜。

總括而言，機構內工作團隊流動性提高、流動數據儲存裝置大行其道、資訊科技消費化 (consumerization) 及員工在工作期間瀏覽社交媒體，都對企業構成越來越大的保安威脅。而報告中明顯反映出大部份受訪者均相信其公司仍未作出足夠努力，以確保數據保安基礎設施獲得有效保護及對抗黑客和針對性攻擊。

減低人為因素風險的有效建議

1. 現今的後 PC 年代，數據和裝置都很容易暴露於外，機構要以新思維來看待數據安全，把焦點集中於「以數據為本」的保安措施，在一個統一框架內結合威脅和數據防護，清楚知道何人在何時何地以那種方式存取甚麼數據。

2. 喚起員工和其他內部人士的注意，提醒他們需要投入更多時間和努力來保護數據。

3. 確保數據保安政策能針對機構數據可能外洩的弱點。

4. 研究各種高效率和高成本效益的管理和技術方案，例如以電郵為基礎的數據損失預防方案、電郵加密和安全檔案共享方案。

5. 確保所有擁有高階存取權限的用戶都清楚知道有關風險。

6. 若儲存了敏感和機密資訊的流動裝置遺失或被竊，需立即通報。

7. 制定政策，規管在工作間使用社交媒體的行為。