根據(jù)全球知名網(wǎng)絡安全商卡巴斯基實驗室最近發(fā)布的一份調(diào)查報告，人為錯誤是企業(yè)將系統(tǒng)和數(shù)據(jù)遷移到云端所面臨的風險?？ò退够鶎嶒炇胰蚱髽I(yè)IT安全風險調(diào)查報告基于對全球24個國家不同規(guī)模公司的7,186位行業(yè)人士進行了調(diào)查。

[[265500]]

報告發(fā)現(xiàn)，每10個云平臺數(shù)據(jù)泄露事件就有9次是由于企業(yè)內(nèi)部員工的人為錯誤所造成的，而不是云計算服務提供商。

卡巴斯基實驗室全球銷售副總裁Maxim Frolov在一份新聞稿中說：“將業(yè)務遷移到公共云時，企業(yè)都是先了解誰應該對其業(yè)務數(shù)據(jù)及其中的工作量負責。云計算提供商通常采用專門的網(wǎng)絡安全措施來保護他們的平臺和客戶，但是當客戶的數(shù)據(jù)或業(yè)務面臨威脅時，這不再是云計算提供商的責任。我們的研究表明，企業(yè)應該更加關注他們的網(wǎng)絡安全，并采取措施保護其云計算環(huán)境不會受內(nèi)部員工過錯的影響。”

根據(jù)這份調(diào)查報告，網(wǎng)絡犯罪分子利用網(wǎng)絡釣魚和社交技術欺騙企業(yè)員工，以便能夠訪問企業(yè)存儲在云平臺上的敏感數(shù)據(jù)。

報告指出：“如果企業(yè)員工被誘騙打開虛假電子郵件，下載有害程序，或點擊非法網(wǎng)絡鏈接，那么他們需要為此承擔損害其公司利益的責任，而不是提供基礎設施服務的云計算提供商負責。當我們調(diào)查網(wǎng)絡事件時，只有11%的事件是由云計算提供商造成的。這清楚地表明，確保云計算安全的責任不應該由云計算提供商獨立承擔，而應該由參與者共同承擔。”

報告指出，越來越多的企業(yè)越來越意識到云計算提供了大量節(jié)省資金和加快某些流程的機會。云計算服務使企業(yè)管理和存儲信息變得更加容易，越來越多的中小型企業(yè)和大企業(yè)正在繼續(xù)將敏感數(shù)據(jù)遷移到云端。

超過20%的受訪者表示，他們所在的公司已經(jīng)將有關客戶身份的敏感個人信息傳輸?shù)皆拼鎯ζ脚_。

“人們通常認為，企業(yè)將存儲在云平臺中的內(nèi)容保持安全的責任應該由云平臺提供商承擔。然而，減輕數(shù)據(jù)泄露威脅的責任并不僅僅在于他們。事實上，由于企業(yè)內(nèi)部工作人員的可預防的簡單錯誤導致業(yè)務遭受破壞的可能性更大。”報告指出。

“就人為因素而言，敏感數(shù)據(jù)泄露的損失較大。大約十分之九的中小企業(yè)(88%)經(jīng)歷了影響他們使用的公共云基礎設施的數(shù)據(jù)泄露，他們表示社會工程是網(wǎng)絡威脅的一部分。被盜數(shù)據(jù)的主要三種類型是：確認客戶身份的信息、客戶支付信息、用戶身份驗證憑證。”

這些類型的威脅對許多公司都是毀滅性的，無論是名譽上還是費用上。調(diào)查報告指出，在每次平均損失中，中小企業(yè)的損失約為20.6萬美元，而大公司平均損失約200萬美元。

參與調(diào)查的許多公司承認他們擔心云安全，但沒有能力解決這個問題。近30%的中小型企業(yè)和20%的大企業(yè)表示，他們沒有部署或者在某種程度上部署了可以保護他們存儲在云中數(shù)據(jù)的安全措施。

盡管有這種擔心，但大多數(shù)企業(yè)并沒有制定專門針對其業(yè)務量身定制的安全計劃，因此容易受到網(wǎng)絡威脅。

這項研究還細分了采用云計算程序最多的行業(yè)領域，發(fā)現(xiàn)公用事業(yè)公司和電力公司最為積極主動。報告發(fā)現(xiàn)，IT、金融、制造、零售和醫(yī)療保健領域的公司都在尋求將部分數(shù)據(jù)遷移到云平臺中。

卡巴斯基實驗室詳細列出了企業(yè)可以開始保護存儲在云端的信息和數(shù)據(jù)的方法。首先，企業(yè)必須讓員工提高打開或下載某些文件危險性的認識。還應該警告各部門在沒有申請的情況下繞過IT部門使用云計算服務的風險。

該報告還建議使用端點安全解決方案來防止利用社交工程進行的威脅。

調(diào)查報告指出，“企業(yè)不要拖延實施云計算基礎設施的安全保護。當企業(yè)將業(yè)務遷移到云平臺時，需要了解遷移路線圖以及其所采用每個云平臺的責任范圍。”