根据全球知名网络安全商卡巴斯基实验室最近发布的一份调查报告,人为错误是企业将系统和数据迁移到云端所面临的最大风险。卡巴斯基实验室全球企业IT安全风险调查报告基于对全球24个国家不同规模公司的7,186位行业人士进行了调查。
报告发现,每10个云平台数据泄露事件就有9次是由于企业内部员工的人为错误所造成的,而不是云计算服务提供商。
卡巴斯基实验室全球销售副总裁Maxim Frolov在一份新闻稿中说:“将业务迁移到公共云时,企业的第一步都是了解谁应该对其业务数据及其中的工作量负责。云计算提供商通常采用专门的网络安全措施来保护他们的平台和客户,但是当客户的数据或业务面临威胁时,这不再是云计算提供商的责任。我们的研究表明,企业应该更加关注他们的网络安全,并采取措施保护其云计算环境不会受内部员工过错的影响。”
根据这份调查报告,网络犯罪分子利用网络钓鱼和社交技术欺骗企业员工,以便能够访问企业存储在云平台上的敏感数据。
报告指出:“如果企业员工被诱骗打开虚假电子邮件,下载有害程序,或点击非法网络链接,那么他们需要为此承担损害其公司利益的责任,而不是提供基础设施服务的云计算提供商负责。当我们调查网络攻击事件时,只有11%的事件是由云计算提供商造成的。这清楚地表明,确保云计算安全的责任不应该由云计算提供商独立承担,而应该由参与者共同承担。”
报告指出,越来越多的企业越来越意识到云计算提供了大量节省资金和加快某些流程的机会。云计算服务使企业管理和存储信息变得更加容易,越来越多的中小型企业和大企业正在继续将敏感数据迁移到云端。
超过20%的受访者表示,他们所在的公司已经将有关客户身份的敏感个人信息传输到云存储平台。
“人们通常认为,企业将存储在云平台中的内容保持安全的责任应该由云平台提供商承担。然而,减轻数据泄露威胁的责任并不仅仅在于他们。事实上,由于企业内部工作人员的可预防的简单错误导致业务遭受破坏的可能性更大。”报告指出。
“就人为因素而言,敏感数据泄露的损失最大。大约十分之九的中小企业(88%)经历了影响他们使用的公共云基础设施的数据泄露,他们表示社会工程是网络攻击的一部分。被盗数据的主要三种类型是:确认客户身份的信息、客户支付信息、用户身份验证凭证。”
这些类型的攻击对许多公司都是毁灭性的,无论是名誉上还是费用上。调查报告指出,在每次网络攻击的平均损失中,中小企业的损失约为20.6万美元,而大公司平均损失约200万美元。
参与调查的许多公司承认他们担心云安全,但没有能力解决这个问题。近30%的中小型企业和20%的大企业表示,他们没有部署或者在某种程度上部署了可以保护他们存储在云中数据的安全措施。
尽管有这种担心,但大多数企业并没有制定专门针对其业务量身定制的安全计划,因此容易受到网络攻击。
这项研究还细分了采用云计算程序最多的行业领域,发现公用事业公司和电力公司最为积极主动。报告发现,IT、金融、制造、零售和医疗保健领域的公司都在寻求将部分数据迁移到云平台中。
卡巴斯基实验室详细列出了企业可以开始保护存储在云端的信息和数据的方法。首先,企业必须让员工提高打开或下载某些文件危险性的认识。还应该警告各部门在没有申请的情况下绕过IT部门使用云计算服务的风险。
该报告还建议使用端点安全解决方案来防止利用社交工程进行的攻击。
调查报告指出,“企业不要拖延实施云计算基础设施的安全保护。当企业将业务迁移到云平台时,需要了解迁移路线图以及其所采用每个云平台的责任范围。”