如何利用員工個人資料監控來彌補安全漏洞

長期以來，員工個人資料一直被認為是現代企業網路安全的一個脆弱的威脅載體。然而，儘管比以往任何時候都更多的員工利用身份盜竊和信用監控服務，他們的僱主卻很少有任何安全感。

在員工越來越關注個人身份安全的同時，身份盜竊和網路釣魚攻擊的發生率繼續飆升。自2018年以來，身份盜竊案件的數量增加了兩倍多，而在COVID-19檢疫期間，網路釣魚攻擊增長了高達350%。最關鍵的是，在最近的一項研究中，38%的受訪者表示，他們的同事在過去一年中成為網路釣魚攻擊的受害者。

這種悖論的出現是因為大多數個人資訊保護解決方案的被動性以及對其為企業帶來的好處的誤解。與其說是網路保護，許多身份盜竊和信用監控解決方案所提供的實際服務更類似於補救措施。

因此，身份盜竊和信用監控幾乎沒有為員工或其組織增加個人資料安全。根據我們與各個領域的企業CSO合作的經驗，我們甚至發現，過度依賴這類服務的公司經常會在網路威脅面前變得更加脆弱，而不是更加脆弱。僱主越是覺得受到無效系統的保護，員工就越有可能偏離網路衛生的基本原則。

隨著更強大的惡意軟體、不斷收緊的監管環境和更高的消費者安全意識提高了組織網路安全的風險，瞭解個人資料監控如何影響網路安全從未像現在這樣重要。

識別員工線上私人資料造成的安全漏洞

隨著真正的保護和虛假的安全之間的差距越來越大，企業需要嚴格評估他們的個人資訊保安態勢。隨著威脅者使用的社會工程騙局的不斷髮展，弄清楚什麼是保護員工隱私的有效方法變得越來越重要。

魚叉式網路釣魚等技術的出現表明，網路犯罪分子如何利用個人資訊來提高網路釣魚攻擊的可信度。如果網路犯罪分子能夠找到企業網路中某個人的家庭住址、全名或婚姻狀況，那麼製作一封令人信服的網路釣魚郵件就變得容易得多。透過利用高管的個人資訊來獲得公司高層人士的信任，這種做法被稱為 "捕鯨"，網路犯罪分子可以迅速發起破壞性的網路攻擊。

2016年，在對社交媒體公司Snapchat的攻擊中，網路犯罪分子冒充其執行長以獲得高管的信任，導致了員工工資資訊的大規模洩露。同樣，奧地利航空航天公司FACC的執行長因成為捕鯨攻擊的受害者而損失了近6000萬美元后被解僱。

令人擔憂的是，威脅者用來促進這類攻擊的個人資訊是很容易獲得的。無論是作為資料洩露的結果，還是更頻繁地透過資料經紀人和人員搜尋網站整理的公開資訊，員工的個人資訊往往很容易獲得。

隨著大多數美國公司對員工使用社交媒體的網路安全影響的關注，員工本身也可能成為造成個人資訊保安漏洞的連環殺手。

個人資訊保安解決方案格局

為了應對個人資訊帶來的日益增長的威脅，資訊保護解決方案的市場正在迅速擴大，預計未來6年的複合年增長率(CAGR)將達到13%。

然而，許多組織渴望為員工提供更多的保護，作為企業福利方案的一部分，但卻不清楚這種保護究竟是如何運作的。為了幫助澄清這個問題，將資訊保安解決方案視為屬於三個主要類別之一是很有幫助的。

1.信用監控

透過掃描三大信用監測機構--Equifax、TransUnion和Experian--的個人信用檔案的變化，信用監測服務使個人能夠在一個地方關注他們的信用評分。

雖然任何人都可以自己檢查他們的信用分數，但付費的信用監測服務使這個過程自動化，使個人更容易跟蹤變化。

對於僱員來說，信用監測作為工作場所福利的優勢在於能夠注意到他們的信用分數的突然變化，這表明他們是欺詐的受害者。

2.身份盜竊保護

與信用監測服務一樣，身份盜竊保護解決方案最好被認為是個人資訊的保險政策。然而，由Identity Guard、Norton和OneRep等供應商提供的這類產品，不僅僅是檢視個人的信用分數，還更進一步。

除了進行信用檢查外，身份盜竊保護還對法院記錄、貸款申請和公用事業訂單等事項進行了更全面的檢查，以瞭解個人的個人資訊是否被欺詐性地使用。

隨著身份盜竊影響到創紀錄的美國人，身份盜竊保護現在是一個受歡迎的選擇性福利。

3.隱私保護

信用監控和身份盜竊保護服務提供了保險，即如果員工的資訊被濫用，他們會得到通知，但它們對提高企業的網路安全沒有什麼作用。

當員工從這些服務中看到真正的好處時，他們的資料已經暴露，並給他們的僱主帶來了新的網路安全風險。信用和身份保護的被動性也意味著，雖然個人可以更快、更容易地發現和補救欺詐行為，但個人資料暴露的問題仍然突出。

像DeleteMe提供的服務一樣，隱私保護解決方案致力於解決個人資料暴露問題的根源。透過尋找和消除個人的個人和專業資料的不必要的暴露，主動的隱私保護首先大大降低了欺詐發生的可能性。

對於企業來說，這種解決方案還可以透過最大限度地減少員工個人資訊的洩露來加強網路安全，並反過來從威脅者手中奪走寶貴的彈藥。

在你的組織中制定一個積極的個人資訊隱私的方法

雖然每一種解決方案都有它的位置，但對員工個人資訊的真正保護來自於一個分層的方法。

在最基本的層面上，員工需要接受實際培訓，瞭解如何在工作和家庭中儘量減少他們的個人資訊足跡。除了強調對個人資訊採取不安全方法的潛在安全風險外，有效的培訓還應該向員工展示隱私帶來的好處(即減少垃圾郵件和提高個人安全)。

然而，僅靠培訓是很少有效的。雖然定期培訓很關鍵，但教員工如何發現社會工程騙局的安全意識培訓專案通常在幾個月內就會被遺忘，需要不斷加強才能保持效果。

在培訓的基礎上，員工的個人資訊也應該透過主動的個人資訊檢索和刪除服務來保護。歸根結底，保護員工和企業免受那種利用個人資訊的欺詐的最好方法是在源頭上切斷個人資料的供應。

信用監控和身份保護服務可以構成積極主動方法的第三層。雖然這些服務對提高企業安全沒有什麼作用，但它們可以幫助讓員工放心，如果他們的資料被濫用，他們會在問題失去控制之前發現。

寫在最後

即使它沒有出現在企業的資產負債表上，員工的個人資訊也是企業的寶貴資產。隨著90%以上的企業經常遭遇有針對性的網路釣魚攻擊，最大限度地減少員工資料暴露需要成為每個企業安全態勢的關鍵部分。

然而，企業需要建立一個分層的、主動的解決方案，提供真正的安全價值，而不是向員工提供只在事後發揮作用的解決方案。員工隱私太重要了，不能只停留在個人問題上。