個資威脅增加的主要原因之一,是網路犯罪者透過利用供應商的漏洞,攻擊相依於該供應商的其他組織並竊取個人資料

Apple委託麻省理工學院(MIT)研究人員,針對個人資料洩漏狀況進行研究,發現資料洩漏的事件正在急速增加。從2013年到2022年,資料外洩的事件數量成長到了3倍,而且光過去兩年,就有26億條個人資料紀錄遭洩漏。這份報告的結論強調,組織需要重新思考所收集的未加密資料量,並採用諸如端到端加密這類資料保護措施,來應對日益嚴重的個人資料威脅。

以美國組織為例,資料洩漏現在正處於歷史高峰,截至2023年9月的紀錄,在美國所發生的資料洩漏事件,就比2022年一整年還要多出20%,而世界各地的組織也面臨類似的趨勢。這類攻擊的影響也越來越大,因為企業、政府和各類型的組織收集更多的個人資料,而網路犯罪者在竊取這些私密資料後,能夠被利用甚至出售以獲取鉅額利潤。

報告指出,個資威脅增加有主要兩個原因,第一是勒索軟體攻擊增加且危險性提高,勒索軟體攻擊的數量和複雜性已與過去不同,網路犯罪者更有組織,經常以團隊的形式行動,並且鎖定擁有敏感資料的組織,諸如政府、大眾市場基因檢測公司或是醫療機構。過去網路犯罪者會加密公司資料,直到公司付款為止,但現在網路犯罪者有更高的機率洩漏企業和消費者資料。

此外,研究人員也發現針對供應商的攻擊增加,網路犯罪者會利用供應商的漏洞,來攻擊相依於這些供應商的組織。在當前組織間高度相連的現況,幾乎所有組織都相依於各種供應商和軟體,這樣的相依性使得網路犯罪者,只需要利用第三方軟體或是供應商系統中的漏洞,就能存取其他組織的資料。報告顯示,高達98%的組織在過去兩年內,與經歷過資料洩漏的供應商有業務來往。

雖然組織也投入資源,防範網路犯罪者的入侵,但是只要組織不斷收集大量未加密的個人資料,則網路犯罪者便會不斷尋找新方法取得這些資料,使得個人資料被竊取、濫用和暴露的風險持續存在。資料洩漏不僅會傷害個人隱私,還可能對受害者造成重大的現實後果,像是財務損失、身分被盜用等。

對組織來說,確保個人資料安全成為非常重要的工作,但即便如此,在當前網路犯罪者攻擊更加複雜和創新的現況,供應商系統中一個漏洞,就可能使數百甚至數千組織還有其用戶面臨風險。

研究人員指出,組織的安全性取決於其最不安全的環節。而在這種形勢下,報告建議組織必須重新思考所收集的資料量,特別是限制未加密的資料量。而這是越來越多科技公司產品採用端到端加密保護客戶資料的原因,透過採用端到端加密方法,確保只有發送者和接受者可以存取和修改資料。

熱門新聞

Advertisement