当涉及到数据泄露和泄露时,公司往往意识到这些可能对其用户群造成的损害。但是,虽然未受影响的公司分析情况以确保他们不是下一个,但他们往往忽视了已经通过员工造成的损害。
数据泄露呈上升趋势
这一增长不仅限于报告事件的频率,还包括泄露数据、记录和文件的数量,因为尽管2019年至2020年间泄露的数量急剧下降,但暴露的记录数量却翻了一番多。
但在一个每天都会发生数据泄露和泄露的世界里,每家公司都在为自己着想。由于预防不再是一个可行的选择,公司现在把重点放在应对和损害控制上。尽管如此,大多数的努力都是针对普通消费者以及他们对隐私和安全的需求,而不是那些在自己拥有机密数据库的公司工作的人。
黑客的首要动机是获得经济利益,但这并不总是反映在他们攻击目标的数据类型上,即使是间接的。盗取数据在黑络上出售的黑客很少从财务信息中获利,尤其是预付卡。
这种类型的信息在黑络上不太好卖,因为这些卡很少有足够的资金。而银行和金融服务提供商往往有很强的安全和身份验证要求。以黑网泄露的60万张支付卡的最新事件为例。他们几乎没有任何资金,每张卡平均不到50美元。
这是可能造成最大伤害的信息。从一个人的全名、电话号码、电子邮件地址到他们的社会保险号码、信息和文件。
支付卡是为黑客寻找一个相对安全和快速的利润。信息被恶意个人用来寻找更大的目标。
对员工的影响
任何行业或公司的所有员工都是另一个行业或公司的消费者。上述公司的数据泄露可能会以多种方式影响您的员工和业务。
(1) 增加压力和降低生产力
不可否认,当人们意识到自己的隐私受到侵犯时,他们所面临的情感冲击。而且,根据泄露的个人数据类型,他们的个人生活和人际关系也可能受到冲击,所有这些都可能流入他们的工作环境,导致生产力和工作质量降低。
泄露的数据和信息需要大量的工作来保护和更改。员工可能会因为不得不访问银行来保护自己的账户,以及不得不更换这些账户的所有旧电子邮件和密码而工作过度,这简直就是一颗定时。
(2) 交叉污染
数据泄露的心理影响是以员工为中心的,可能会影响他们的工作。不过,交叉污染的威胁总是更直接的。
根据您的一个或多个员工参与的违规类型,暴露的数据类型会有所不同。如果你的公司不重视网络安全和数字距离意识,那么泄露一名员工的信息也可能危及你数字资产的安全。
如果他们在个人账户中使用与工作相关账户相同的电子邮件地址、电话号码甚至密码,那么无论谁获得了他们的信息和证件,现在都可以潜入公司。如果他们在个人设备和云存储上存储与工作相关的文件,后果可能会更严重。
(3) 更容易成为钓鱼计划的目标
网络钓鱼攻击主要依赖于犯罪者对目标的了解程度。因此,虽然自动中奖、远亲继承或包裹递送费等网络钓鱼骗局如今很少奏效,但高度个性化的骗局更难避免。攻击者可以包含有关其目标的机密和敏感信息,例如他们的社会安全号码、出生日期和地点,以使其看起来更为合法。
由数据泄露引发的网络钓鱼攻击不太可能针对此人本人。毕竟,他们可能知道这个人在哪里工作,以及他们在公司中的职位和等级。他们可以利用你的一名员工作为整个公司的门户,类似于直接针对企业的网络钓鱼计划,但成功率要高得多。
解决?
在保护其他企业免受数据泄露和泄露方面,你无能为力。但这并不意味着你不能做出正确的反应,也不能为可能被间接纳入其中做好准备。
(1) 实施数字距离
在家工作会增加网络攻击的可能性,工作环境中的数字距离是限制或消除员工个人和工作设备及账户之间联系的做法。在没有预算为员工提供办公设备的小型企业,以及严重依赖远程工作者的企业,这种方法可能更难实施,因为远程工作者使用个人笔记本电脑和帐户处理公司项目,例如使用电子邮件登录到只工作的平台。
即使不包括设备分离,也应该强制执行帐户分离。强调每个员工都必须拥有只工作的帐户和永远不会在个人帐户上使用的强密码,同时强制执行一种身份验证,如2FA或无密码登录。
(2) 鼓励开放交流
没有人相信他们会爱上网络钓鱼计划,但这仍然发生。除了对最新的网络钓鱼攻击进行定期和密集的培训外,在遇到复杂的网络钓鱼攻击时,你不应该让员工一个人呆着。
促进员工与公司IT和安全部门之间的公开沟通。鼓励员工就任何他们认为可疑的电子邮件或信息与他们联系。你也应该避免把员工归咎为违约。这样,如果员工真的受到网络钓鱼攻击,他们会立即联系IT部门,而不是惊慌失措,自己努力掩盖问题。
(3) 提供精神支持
当涉及到管理员工的压力和他们在数据泄露后所遭受的情绪影响时,你唯一能提供的就是理解和道德支持。而且,他们的生活越早恢复正常,他们就越早能够恢复正常工作。
考虑为数据泄露和泄露的受害者提供休息时间和灵活的时间表,以便他们可能需要与银行会面,并访问办公室以更改和保护他们的信息。
