數位世界中個人資料受到威脅:保護員工和客戶,企業應制定何種策略?
總綱
在數位世界中,個人資料遭受到了各種威脅,包括深偽技術、利用人為錯誤以及漏洞和信任問題。如果企業不採取保護員工和客戶的策略,將會面臨嚴重的後果。本文將探討公司不制定保護策略的風險,並提出保護資料和身份的方法以及提倡教育和警覺的必要性。
背景
在現今的數位時代,由於網路犯罪分子利用生成式人工智慧技術,所以現有的網路犯罪手法並沒有太多新意。詐騙郵件和資料外洩等犯罪手法已經存在多年,現在則透過生成式人工智慧增強了其攻擊效果。不僅如此,犯罪分子還在利用合成身份的方式來建立自定義使用者資料,以便鎖定潛在目標。透過偷竊信用卡訊息、個人身份訊息和位址,他們可以建立新的信用身份,或者使用現有帳戶上的真實訊息進行登入操作。此外生成式人工智慧技術可以預測使用者的帳戶密碼,並且操縱聊天機器人和語音合成技術,偽裝成個人或組織,例如偽裝成 CEO 冒充低階員工,以很逼真的方式進行聯絡。隨著人工智慧技術在預測人類行為方面的進步,偽裝成人類的技術將會被更廣泛地用於欺騙員工和消費者。這些偽裝手法之所以成功,是因為它們能夠理解特定人群的行為,並且能夠預測他們在與員工互動時的反應。而這種威脅是近在眼前的,如該文章所說:“從統計角度來看,這些事件發生的機率是 100%。AI 已經在提高威脅程度,讓網路犯罪分子能夠更快、更好、更真實地進行這些攻擊。”
保護資料和身份的方法
為了保護資料和身份安全,企業需要遵守法律要求的安全標準,同時還需考慮一系列實際問題。這包括超越雙重認證(2FA),因為它已經不再是足夠安全的標準,如今需要多重認證。這意味著在傳統的 PIN 碼之外增加一種額外的取證層級。這種層級可能是更先進的生物識別技術,或者要求提供其他訊息以取證身份,例如一張真實的證件、許可證或身份證實等。除了對外部客戶顯示的高級身份識別方案外,還有幾個內部的身份識別措施。例如,Telesign 公司利用電話識別 API 從使用者供應商處獲得的電信資料,以匹配使用者所提供的訊息與記錄中的資料是否相符。該公司的高級工程師 Juan Rivera 解釋道:“它可以將電話號碼、電子郵件位址,乃至使用者存取記錄的 IP 位址等資料點結合起來,告訴您該使用者是否可疑。”他還說: “這些資料點成為衡量常規存取或詐騙企圖機率的標尺。當有可疑行為時,系統會立即做出反應,而且操作在幾毫秒的時間內就可以完成。”透過在頂部進行低摩擦度的身份取證,可以將對可疑行為或者受到懷疑的人加固額外的安全措施,例如要求透過電子郵件取證該使用者位址,要求消費者致電以取證其登陸嘗試等。因此保護資料和身份可以在保護流程的早期階段實現低摩擦度操作的同時對可疑的行為加固額外的安全措施。
超越技術
人的因素的重要性 維護安全的技術方面是確保資料安全的基礎,但對於減輕威脅而言,持續對員工進行培訓和教育,以提高安全最佳實踐的意識至關重要。這可以包括分享已收到的可疑電子郵件,註明引人懷疑的特徵,或確保員工定期更改密碼並及時更新軟體。然而安全意識不僅需要在企業和員工之間進行,企業還應該定期與客戶保持聯絡,提高他們對安全的理解。這不僅可以增強企業的安全層級,還有助於塑造企業的形象,使客戶明白企業不僅關心他們的利益,還持續教育他們如何應對數位空間中的威脅。正如 Juan Rivera 指出的:“我們並不經常看到像亞馬遜這樣的企業定期聯絡客戶,告訴他們:‘嘿,我們明白您現線上上購物更多了。我們要確保您理解如何保持安全。’我們需要開始將教育視為一種行業標準,因為網路犯罪分子不會停止活動。” 保護帳戶遭受詐騙、資料外洩和帳戶被接管的方案以及可防止這些犯罪的先進協議和策略在 VB Spotlight 活動中將有所介紹。
結語
保護資料和身份的重要性在當今的數位時代中變得越來越迫切。從技術上保護資料安全只是第一步,持續的教育和培訓以及與客戶之間的互動,都是減輕威脅的關鍵。企業應該採取綜合措施來保護員工和客戶,並將資料和身份保護視為業務運營的核心要素。
延伸閱讀
- Ofcom 將推動在新的網路兒童安全守則中,加固年齡取證、篩選和其他 40 項檢查
- Brandywine Realty Trust 表示資料已在勒索軟體攻擊中被竊取
- LockBit 的幕後主謀被起訴:我們從中學到了什麼?
- 美國聯合健康集團 CEO 表示:“也許三分之一的美國公民受到最近的駭客攻擊影響”
- Mozilla 發現大多數約會應用並不善於保護使用者資料
- 英國正在評估 AI 是否能幫助保護年輕的網路使用者
- 帕羅奧圖網路防火牆漏洞遭攻擊,數千家公司面臨新的災害
- Change Healthcare 被駭客入侵,病患資料遭勒索軟體集團洩漏
- 烏克蘭網路警察如何對抗俄羅斯駭客
- 政府間諜軟體是一個使用廣告攔截器的另一個原因