根據國際標準組織(ISO)公告第三版 ISO/IEC 27001:2022 資訊安全管理制度,針對資料外洩防護提出了相應的防範管制措施,希冀各機關在面對不斷演化的資料外洩風險時,強調以「資料保護」為中心,提升機關對資料外洩的防護能力。
在現今數位化時代,各機關面臨的資料外洩風險日益增大。無論是由內部員工無意中外洩機敏資料,或者外部攻擊者通過網路入侵獲取資料,都可能導致嚴重的財務和聲譽損失。
Verizon 2023 DBIR 資料外洩調查報告顯示
-
超過74%的資料外洩是由人為疏失、社交工程或濫用引起的。
-
近20%的比例屬於內部資料外洩。
-
系統入侵、Web 應用程式攻擊和社交工程為常見的攻擊手段。
資料外洩的主因
01
員工錯誤
員工有意或無意導致資料外洩,並透過電子郵件或其它溝通媒介分享。
02
設備遺失/盜竊
當資料未做加密保護,其使用裝置遺失或被盜可能會導致資料外洩。
03
惡意軟體
為攻擊者提供竊取資料所需的存取權限,使其能夠竊取機關的敏感資訊。
04
釣魚攻擊
透過值得信任的來源傳送詐騙電子郵件,目的是竊取或破壞機敏性資料。
05
系統漏洞
利用應用程式中未及時修補的安全漏洞來竊取資料、篡改內容或破壞服務。
由此可見,建立有效的資料外洩防護機制,更應該成為機關重視的資安重點。
實際案例:
某大學在寄送講座通知郵件時,無意中夾帶含有全校學生個人資料的附檔,導致學生的個人資料外洩,這些資料包括學生的姓名、學號和成績等。
大型企業Amazon曾經發生郵件誤寄事件,不小心將禮品卡訂單確認郵件,發送給錯誤的收件人,而寄錯的郵件中含有許多客戶的重要資訊,包含:姓名、付款資料、地址等。
避免機敏資料外洩-DLP解決方案
因此,面對內部人員失誤或駭客惡意攻擊所造成的資安事件,桓基科技 iSherlock 郵件安全系統,結合 DLP 相關技術,強化各機關對機敏資料的控制,防止資料透過電子郵件方式產生外洩的風險。同時與以柔資訊攜手合作,採用該公司獨家專利的 ADP 系統,針對重要文件進行加密,並提供文件列印、截圖和浮水印的嚴格管制,確保對文件操作的嚴格控管,防止未經授權的使用,進一步提升資料安全保護力。功能特點如下:
郵件內容檢查
預先定義相關內容條件,包含關鍵字、個人可識別資訊 (PII) 和 DLP 原則,並掃描偵測所有寄外的電子郵件及其附件(包含廠商報價單、產品設計圖、程式碼、員工個人資料等),做好資料外洩的第一道把關。
郵件分類管理
針對電子郵件進行分類,包含:寄件者的部門(研發、業務等)、郵件內容等類型,控管該分類的機敏資料屬性,方便追蹤及管理。
政策執行
當系統偵測到機敏資料時,自動根據機關設定的資料保護政策執行管控,例如郵件附檔加密、攔阻發送、通知系統管理人員等動作。
防範內部威脅
監控和限制電子郵件附檔資料,例如:附檔下載次數限制、附檔下載時間期限、僅提供線上檢視(資料不落地)、浮水印保護等。
法規合規性遵守
遵循最新資料保護標準、相關法律及規定,例如:個人資料保護法,並整合郵件歸檔,將所有郵件資訊安全保存,並提供快速搜尋功能,以便在未來遭遇法律訴訟或合規要求中作為證據使用。
過往各機關大多只需要防範外部攻擊或威脅來保護機密資料。然而,隨著科技技術不斷演變,各式數位傳遞工具的便利性大幅提升,造成內部資料外洩事件逐日攀升。
採用桓基科技 iSherlock 郵件安全系統之 DLP 解決方案,除了協助機關建立完善的資料外洩防護機制,還能夠強化員工對於使用單位資料的安全意識,並且同時滿足 ISO/IEC 27001:2022 資訊安全管理制度之規範要求。如此一來,才能防範未然以穩固商業機密。