公共組織如何保護其數據安全
對於政府和公共部門組織來說,資料外洩的風險尤其高,他們在維護網路安全方面面臨巨大的挑戰。 由於公共部門的特殊性質,他們必須儲存大量機密資訊和個人信息,這需要最高級別的資料保護系統,也使它們成為駭客的有吸引力的目標。 此外,許多組織使用的資料儲存系統的防禦能力較弱。 由於公共部門組織與其利益相關者的聯繫日益緊密(例如透過應用程式和入口網站關聯),這導致資料保護的情況變得更加複雜。
資料外洩的成本再高不過了。根據 IBM 的資料外洩成本報告[1],公共部門組織的每次網路攻擊平均需要花費 200 萬美元來管理和修正。 其影響不僅在於財政方面,違規行為可能會削弱利益相關者和公眾對於公共部門的信心,並造成難以挽回的聲譽損害。
此外,公共部門的越來越多地使用網絡手段來建立聯繫,這同樣增加了資料外洩風險。
公共部門的網路攻擊
公共部門組織往往擁有穩定的 IT 系統,用於其核心業務,例如財務流程。 在大多數情況下,他們使用行業標準設置其業務流程,這有利於其業務維護和發展,值得一提的是,他們仍然需要保護這些系統,並遵循安全管理的模式。
當企業或組織擁有量身定制的技術解決方案時,他們可能會更容易受到網路攻擊。 例如,醫療保健組織將擁有用於儲存非常適合其需求的資料的系統。 雖然 IT 系統本身可能不是定制的,但它將與使用互聯網定制應用程序相連,這就是外洩風險增加的地方。
減輕網路風險
組織應該做的第一件事是確保有權存取其 IT 系統的人員接受網路安全的相關教育。 他們需要了解自己擁有哪些資料以及常見的網路攻擊方法,同時要警惕網路釣魚電子郵件等可疑活動。 他們還應該確保使用強大的身份驗證機制來存取其系統。 許多組織仍然簡單地使用賬號和密碼,但這還不夠。 兩因素身份驗證提供了更強大的保護 - 除了密碼(您知道的東西)之外,您的手機還可以用作提供訪問權限(您擁有的東西)的另一種方式。
另一個強而有力的緩解措施是分段。 這意味著在更動態的面向互聯網的 Web 應用程式和儲存所有資料的後台之間建立分段。如果系統在一個分段中受到損害,整個資料庫不會也受到損害。 基於這些安全架構原則的網路設計是一項強而有力的措施,也是「設計安全」的一部分。
對軟體的持續監控也很關鍵。 軟體可能包含弱點,或通常所說的漏洞(bug)。 組織需要確保盡快識別並「修補」這些漏洞。 例如,如果軟體供應商有安全性更新,則應立即安裝,因為這是一個可以被利用的弱點,漏洞很快就會成為公共資訊。
通常,政府或類似組織的網路安全中心會發佈網路威脅警報,以向其他人發出警告。 還有線上商業資料庫列出了最新發現的漏洞; 駭客總是在關注這些。
網路攻擊後管理聲譽
維護網路安全有助於保護組織的聲譽及其客戶、組織和員工的安全。 最終,這一切的責任在於管理層。 對於管理層來說,接收有關網路安全和網路事件的更新和資訊至關重要,這樣他們才能在需要時就網路安全做出及時的聲明並擬定應對方案。 僅僅依靠 IT 部門甚至外包 IT 供應商的溝通是不夠的。
這很重要,因為當外洩發生時,管理層必須向利益相關者解釋問題的前因後果。 保持百分百的安全性是非常困難的,對此,準備好溝通計畫和應對方案就顯得至關重要了。
閱讀Mazars的最新報告《數碼轉型背景下的網絡安全策略》,以獲取有關如何理解和減輕網路風險的深入指南。