( 擷取來源:趨勢科技電子報 | 關鍵字:資料外洩 | 文章分類:防毒防駭 )

作者:Robert McArdle (安全威脅分析員)

美國國家經濟研究署 (National Bureau of Economic Research)宣布,美國自 2007 年 12 月起正式進入經濟衰退期,而且美國及全世界其他各地的 IT 預算很可能都受到嚴格的控管。我在週末曾與一位朋友聊天,他問我,是否預期許多公司會因為無法負擔專屬安全人員的預算而導致 IT 安全產業裁員。
老實說,是的,我認為情況會如此。不過,我也認為在 2009 年,整體 IT 安全性產業將會繼續成長;因為不論何時,歹徒都不會快速消失,而且他們許多現有的詐欺作法在這個景氣衰退時節也真的有用。長期來看,選擇不這麼認為的公司最終可能將會後悔。

一言以蔽之,安全性工作可歸結為風險管理。每個組織機構必須加以保護的三個核心價值通常可以用縮寫成 CIA:Confidentiality (機密性)、Integrity (完整性)、Availability (獲利)。不同領域的不同組織各有其優先順序,但我認為,時值經濟衰退的此刻,最受影響的顯然是Confidentiality (機密性)與Availability (獲利)。

來自內部的資料外洩威脅已成為組織所面臨的最大風險,特別是「不滿員工」

就機密性而言,我們指的是組織私密資料必須受到保護。我所在的愛爾蘭這裡,11 月有 17,000 人的工作遭到裁撤。相較於其他國家,這不過是滄海之一粟,特別是美國,已經有 250 萬名員工失業。來自內部的威脅已成為組織所面臨的最大風險之一,特別是發生所謂「不滿員工」情況時更是如此。隨著大量員工遭到解雇,減薪等,這些員工就有許多動機可能會進行資料竊取。

當人們發現雇主使他們身陷困境時,就更可能降低檢視自我對公司忠誠度的標準。如此一來,他們也許不再認為把公司機密資訊帶出公司是偷竊行為。他們會覺得對這些資訊擁有權利,因為畢竟他們已經花了多年歲月工作,幫助公司成長。市面上出現相當多「資料外洩/遺失防護」(Data Leak/Loss Prevention, DLP) 解決方案這一事實,正可說明此問題的嚴重性;而且我認為,在目前這個時節,「資料竊取/遺失」的情況將會繼續增加。

幾乎所有公司都正在努力審查其成本,並竭盡所能加以降低,但…

這將我們帶到另一個重大因素:獲利。幾乎所有公司都正在努力審查其成本,並竭盡所能加以降低。不論這樣的措施是以員工數來計算,或僅僅是將大樓內所有自動控溫器降低五度 (打這篇文章就讓我雙手凍紫了),許多公司都正如履薄冰,試著維持未來兩到三年的生存;就算是極輕微的災難都可能讓公司翻船。

這正給予惡意程式可乘之機。最近的 WORM_DOWNAD.A 攻擊就很成功地感染了未修補的 Windows 電腦,有相當多公司成千上百部電腦遭到這個安全威脅的感染。清除這種威脅會耗費大量金錢,因為公司可能必須支付 IT 人員加班費以便修復問題,或者必須求助於外部承包商。不論如何,這都還不是真正的損失。想像一家 4000 名員工的公司。現在再想像一下,當系統在清除、修補與測試時,所有員工有三個鐘頭無法使用他們的電腦。這相當於該公司必須支付 12000 人工時數,卻毫無報酬。換句話說,等於是 6.5 名員工一整年的薪資,總計約 20 萬至 25 萬美元。在如今這個時刻,很少有公司有這樣的錢可以浪費。

因此,對於考慮刪減安全性預算的組織,應該想長遠一點,想清楚一點,在短期節省與潛在損失之間做個衡量。我希望,在未來幾個月內,不會有公司因為惡意程式的攻擊而導致破產;然而此時此刻,樂觀主義其實沒有多大用處。

@原文來源:
Security in Recession

擷取自....趨勢科技電子報

版權聲明:

本文僅提供網友參考及宣導之非商業用途,不可對內容做任何修改。

© 2002 Trend Micro Incorporated / 趨勢科技股份有限公司。保留所有權利。


夏天 發表在 痞客邦 PIXNET 留言(0) 人氣()