商业电子邮件诈骗所致损失超260亿美元,半数员工承认使用电子邮件时曾意外泄露了信息

 网喵   2020-05-21 17:53     0 条评论

“糟糕!邮件发错人了!”生活中不少人出现过这种“意外”,但如果这个意外出现在了工作中,那可就是另一回事儿了。随着监管机构和企业本身对数据保护更加重视,数据意外泄露(最常见的是误发电子邮件)的后果可能更加严重。

幸运的是,很多企业已经意识到此问题严重性。超过70%的高管认为他们的组织在过去五年中经历过一次“意外”的内部违规。几乎一半(44%)的人认为使用公司电子邮件账户时会发生这种情况。这两个统计数据之间的是明显关联的,人们越来越认识到一个新的网络安全层面必须得以关注——人为层面的安全。

商业电子邮件(欺诈)损害Business Email Compromise (简称BEC)的增长凸显了电子邮件的脆弱性。BEC攻击通常是冒充经理或公司高管,发送电子邮件给那些疏忽、没有防护意识或是忙得焦头烂额的员工。而内容往往是让他们做一些琐碎的繁杂的小事儿。制造BEC骗局的不法分子知道如何让自己的信息看起来合乎逻辑,而且大多数接收者不会仔细检查收到的每一封电子邮件。通常这些骗子只需要成功一次就挖到了“金矿”或者渗透进被害者公司的内网。

BEC攻击的案例增多清楚地说明了假冒电子邮件带来的风险。联邦调查局已就这些骗局发出多次警告,目前,BEC攻击造成的损失总计已超过260亿美元。在2018年5月至2019年7月之间,已发现的BEC攻击造成的的损失增长了100%。数量的增加部分原因是因为人们对欺诈的了解有了更多的认知,鼓励人们向国际和金融合作伙伴进行报告。美国约50个州和177个国家/地区都曾报告过该骗局。

监管机构和政府机构已经注意到这一点,新出台的《加州消费者隐私法》(CCPA)已经影响了电子邮件安全事件,该法案对违规者将处以重罚。其他州也都效仿加州的做法,正在部署更好的措施来保护通过电子邮件共享的数据内容,这已经成为众多组织的首要任务。

俗话说,解决问题的第一步是承认自己有问题,不少公司已经意识到员工的意外违规行为所带来的威胁。企业和个人的电子邮件发送意外仍是数据泄漏背后的主要原因。如果公司或组织能够发现这些弱点,那还是挺让人欣慰的。

既然问题已被发现,现在就该解决它了。其中重要的一步是尽量多地使用加密技术。而事实证明,人为层面安全性的提升是防止“意外”损害的重要措施。诸如与语境相关的智能技术的使用为机构提供了一种新防御武器,它不仅可以有效协助防止潜在的违规行为,而且可以使员工在错误发生之前纠正自己的错误。

44%的员工承认他们可能通过电子邮件意外泄露了机密信息,但由于担心后果而没有报告给安全团队。无论是出于害怕受到惩罚、声誉受损或其他后果的考虑,许多人都有可能对自己这个看似小的错误守口如瓶。不幸的是,这类事件的漏报使BEC骗局的价格标签已经上涨到了260亿美元。与语义相关的智能机器学习通过了解员工的“正常”行为来改善这种情况。也就是说,它学习员工通常与谁交换电子邮件以及他们讨论什么等等,并标记出潜在的异常行为,让他们有机会在错误发生之前纠正错误。

CCPA对未能适当保护数据的处罚是严厉的,违规者将被处以最高2500美元/人(信息泄露所涉及的人)的罚款,所有个人数据被泄露的人数都包含在内。就目前发生个人数据泄露的案例来看,受数据泄露影响的人数可能达到数百万,这意味着单单是经济罚款,其数目就可能是惊人的。这甚至还没有包含攻击造成的其他损失,例如声誉和其他损害。尽管没有完美的系统,但人为层面安全案例的出现为组织提供了一种重要的新方法,不仅可以保护自己并确保合规性,还可以培养出这样一种文化——让员工感到被信任,并有权自我纠正哪怕是最简单的错误。

*本文出自SCA安全通信联盟,转载请注明出处。

本文地址:http://cn-mobi.com/?p=3997
版权声明:本文为原创文章,版权归 网喵 所有,欢迎分享本文,转载请保留出处!

 发表评论


表情