公共組織如何保護其數據安全

對於政府和公共部門組織來說，資料外洩的風險尤其高，他們在維護網路安全方面面臨巨大的挑戰。 由於公共部門的特殊性質，他們必須儲存大量機密資訊和個人信息，這需要最高級別的資料保護系統，也使它們成為駭客的有吸引力的目標。 此外，許多組織使用的資料儲存系統的防禦能力較弱。 由於公共部門組織與其利益相關者的聯繫日益緊密（例如透過應用程式和入口網站關聯），這導致資料保護的情況變得更加複雜。

資料外洩的成本再高不過了。根據 IBM 的資料外洩成本報告[1]，公共部門組織的每次網路攻擊平均需要花費 200 萬美元來管理和修正。 其影響不僅在於財政方面，違規行為可能會削弱利益相關者和公眾對於公共部門的信心，並造成難以挽回的聲譽損害。

此外，公共部門的越來越多地使用網絡手段來建立聯繫，這同樣增加了資料外洩風險。

公共部門的網路攻擊

公共部門組織往往擁有穩定的 IT 系統，用於其核心業務，例如財務流程。 在大多數情況下，他們使用行業標準設置其業務流程，這有利於其業務維護和發展，值得一提的是，他們仍然需要保護這些系統，並遵循安全管理的模式。

當企業或組織擁有量身定制的技術解決方案時，他們可能會更容易受到網路攻擊。 例如，醫療保健組織將擁有用於儲存非常適合其需求的資料的系統。 雖然 IT 系統本身可能不是定制的，但它將與使用互聯網定制應用程序相連，這就是外洩風險增加的地方。

減輕網路風險

組織應該做的第一件事是確保有權存取其 IT 系統的人員接受網路安全的相關教育。 他們需要了解自己擁有哪些資料以及常見的網路攻擊方法，同時要警惕網路釣魚電子郵件等可疑活動。 他們還應該確保使用強大的身份驗證機制來存取其系統。 許多組織仍然簡單地使用賬號和密碼，但這還不夠。 兩因素身份驗證提供了更強大的保護 - 除了密碼（您知道的東西）之外，您的手機還可以用作提供訪問權限（您擁有的東西）的另一種方式。

另一個強而有力的緩解措施是分段。 這意味著在更動態的面向互聯網的 Web 應用程式和儲存所有資料的後台之間建立分段。如果系統在一個分段中受到損害，整個資料庫不會也受到損害。 基於這些安全架構原則的網路設計是一項強而有力的措施，也是「設計安全」的一部分。

對軟體的持續監控也很關鍵。 軟體可能包含弱點，或通常所說的漏洞（bug）。 組織需要確保盡快識別並「修補」這些漏洞。 例如，如果軟體供應商有安全性更新，則應立即安裝，因為這是一個可以被利用的弱點，漏洞很快就會成為公共資訊。

通常，政府或類似組織的網路安全中心會發佈網路威脅警報，以向其他人發出警告。 還有線上商業資料庫列出了最新發現的漏洞； 駭客總是在關注這些。

網路攻擊後管理聲譽

維護網路安全有助於保護組織的聲譽及其客戶、組織和員工的安全。 最終，這一切的責任在於管理層。 對於管理層來說，接收有關網路安全和網路事件的更新和資訊至關重要，這樣他們才能在需要時就網路安全做出及時的聲明並擬定應對方案。 僅僅依靠 IT 部門甚至外包 IT 供應商的溝通是不夠的。

這很重要，因為當外洩發生時，管理層必須向利益相關者解釋問題的前因後果。 保持百分百的安全性是非常困難的，對此，準備好溝通計畫和應對方案就顯得至關重要了。

閱讀Mazars的最新報告《數碼轉型背景下的網絡安全策略》，以獲取有關如何理解和減輕網路風險的深入指南。