网络安全、风险管理和数据治理领域的 9 个第一季度热门头条新闻
在瞬息万变的网络安全、风险缓解和信息管理领域,有哪些最重要、最有趣的故事?
要缩小选题范围比以往任何时候都要困难,因为世界的发展就是这么快。但我们将尽最大努力提供本季度 吸引我们眼球的 9 篇报道 ,其中包括 GRC 和网络安全方面的有趣报道,这些 报道 显示了全球有多少不同的力量和趋势在发挥作用。
> 员工与社交媒体网络犯罪?公司因此损失数十亿美元
根据萨里大学一位著名学者的一项广泛研究,每五个组织中就有一个感染了通过社交媒体传播的恶意软件,而社交媒体引发的网络犯罪每年 至少为坏人带来 32.5 亿美元的全球收入。
其中一个值得注意的威胁来自加密劫持,即员工或个人电脑被劫持以执行加密挖掘操作,它实际上已经超过勒索软件,成为个人和企业计算机系统面临的最大威胁。
全球五大加密代码托管网站中,有四个是社交媒体网站,这些网站的恶意软件传播方式比电子商务、数字媒体或企业网站多出 20%。 因此,作为网络安全战略的一个组成部分,一个可靠的社交媒体策略管理解决方案比以往任何时候都更加不可或缺。
> 俄罗斯是在打击网络犯罪分子,还是在庇护自己的网络犯罪分子?
> 2018年英国金融服务数据泄露增长 480
你没看错。根据英国《金融时报》的最新(付费)报道,黑客已将他们的目标锁定在英国金融服务公司。 英国金融行为监管局(Financial Conduct Authority)的数据显示,去年金融服务公司的数据泄露事件增加了 5 倍。
"去年,公司向 FCA 报告了 145 起违规事件,高于 2017 年的 25 起,其中投资银行报告的违规事件数量最多,为 34 起,而前一年仅为 3 起。"
研究表明,网络犯罪分子之所以瞄准投资银行,是因为他们认为投资银行的安全防护措施不如零售银行。投资银行存储的数据类型可能更有利可图;例如,并购数据可被用于内部交易。
金融服务数据泄露报告大幅上升的其他领域有哪些?
- 保险公司在 2018 年报告了 33 起违规事件,高于 2017 年的 7 起。
- 消费零售贷款公司在 2018 年报告了 21 起违规事件,高于前一年的 4 起。
- 零售投资公司 2018 年发生 11 起违规事件,而 无而 2017 年则没有。
有积极意义吗?一些人认为,这种跃升更多地是表明,GDPR 的到来和对网络威胁的更高认识提高了金融服务公司的 报告水平。 2018 年 6 月是 GDPR 实施的第一个月,也是违规报告总数最高的一个月,这可能并非巧合。
> 加利福尼亚州的数据隐私保护日趋严格
在一些批评者看来,金州已经成为集体诉讼的黄金机会,这得益于金州对消费者保护法规的偏好。如果新的 数据隐私修正案 建议现行的《加州消费者隐私法》(CCPA)生效、 消费者将可以起诉科技巨头 如果他们认为自己的数据隐私权受到侵犯,可以向谷歌和 Facebook 等公司投诉。
硅谷的游说者和发言人已经开始反对该法案,称除了那些集体诉讼律师,他们不会给任何人带来好处。但支持者指出,Facebook 的剑桥分析公司(Cambridge Analytica)等事件证明了进一步监管的必要性。
"该法案的发起人、来自圣巴巴拉的民主党参议员汉娜-贝丝-杰克逊(Hannah-Beth Jackson)说:"科技行业从本质上来说,一直非常反对任何形式的监管。"这个行业就像狂野的西部,没有规则、没有限制、没有监管。我们已经到了临界点。
与 GDPR 被视为其他法规的典范一样,CCPA 也被美国其他州视为其数据隐私法规的模板,华盛顿州就是其中之一。根据草案,CCPA 甚至比 GDPR 更为宽泛。因此,那些对自己遵守 GDPR 感到安全的公司,如果触犯了 CCPA,可能会大吃一惊。
> 美国监管机构对网络安全合规采取强硬措施
仅仅制定网络安全合规计划是不够的。 在许多美国监管机构看来,网络安全合规计划必须达到更高的标准--否则他们的处罚会越来越重。
这就是一个很好的例子:1 月 25 日,北美电力可靠性公司(NERC)要求联邦能源管理委员会(FERC)批准一项经过大量编辑的和解协议,该协议涉及 创纪录的 1000 万美元罚款 对 "一家身份不明的公用事业公司 "提起诉讼,原因是该公司数年来违反了关键基础设施保护 (CIP) 标准。
尽管该公用事业公司当时已制定了内部合规计划,但 NERC 发现,由于管理层缺乏支持和问责,监督、文档和培训不力,以及组织孤岛导致缺乏沟通和混乱,该计划存在缺陷。
换句话说?他们被点名是因为 太多其他公司存在同样的因素。 如果违规者在金融服务或医疗保健等受到严格监管的行业运营,这些失误会严重增加类似监管打击的风险。因此,建立积极的合规文化是绝对必要的。
> 网络骗子流行 "表格劫持"
赛门铁克公司(Symantec)的一份最新网络安全报告解释了 "使用恶意 JavaScript 代码窃取信用卡详细信息和电子商务网站结账页面上的其他信息 "的表单劫持(formjacking)是如何吸引网络犯罪分子的。赛门铁克的数据显示,去年每月 有 4,818 个独特的网站被表单劫持代码入侵。只要通过这种方式盗取十张信用卡,骗子每月就能获利高达 220 万美元。
英国航空公司和 Ticketmaster 等大公司遭到黑客攻击是大新闻,但赛门铁克公司称,从服装到园艺设备的中小型零售商也经常成为受害者。 "报告指出:"这是一个全球性问题,有可能影响到任何接受客户在线支付的企业。
> 作为对 #MeToo 的回应,女性专用工作场所正在兴起
一些公司和企业家认为,减少性骚扰和性别偏见索赔的一种方法是什么?很简单: 把男人赶走。
越来越多的女性专属和以女性为中心的工作场所在美国各地建立起来。有些工作场所是在 #MeToo 火热起来之前建立起来的,但它们无疑受益于这一运动。它们还利用了女性员工希望建立支持性工作环境的愿望,与传统的企业文化截然不同。
这样做的成功率有多高,这是一个很好的问题。尤其是在降低一种风险的同时,也产生了另一种风险,那就是性骚扰索赔:男性对其中一些机构提起了性别歧视诉讼,至少在一个案例中迫使其改变了会员政策。
> 在 #MeToo 时代,企业纷纷求助于声誉管理公司
随着 #MeToo 运动的持续发展,最近一些非常引人注目的事件也证明了这一运动的影响力,各公司也越来越关注其声誉受损和面临 #MeToo 索赔的可能性。根据 CNBC 的研究,在美国证券交易委员会(SEC)要求提交的 2018 年度公司报告中,约有30% 的报告 将 "声誉风险 "列入了2018 年的风险因素。
因此,他们开始求助于声誉管理顾问,这些顾问会对公司的领导层和企业文化进行深入分析,找出性骚扰问题的症结所在,并建议如何在问题公开之前加以解决。有时,这涉及到让高级管理人员滚蛋。
公司因不良行为而面临令人震惊的法律责任,却没有为此做好准备。根据美国平等就业机会委员会(EEOC)的数据,2018 财年工作场所性骚扰索赔猛增了 12% 以上。2018 年,EEOC 为性骚扰受害者从公司追回了 7000 万美元,高于 2017 年的 4750 万美元。
> "疲劳风险 "是触及 10 个美国雇主中 9 个的危险因素
除了网络安全或性骚扰之外,员工风险还有其他形式。另一个来源是什么?疲劳。至少美国国家安全委员会(NSC)是这么说的,它声称90% 的美国雇主都受到过疲劳员工的负面影响。
事实上,43% 的员工在研究中承认,他们可能因为过于疲劳而无法在工作中安全地工作,这使得疲劳成为一种日益严重的工作场所危害。国家安全委员会呼吁全国所有雇主实施全面的疲劳风险管理系统,以帮助预防13%的工伤事故归咎于睡眠问题。
累计成本?疲劳每年给美国经济造成超过 4000 亿美元的损失。 一家拥有 1,000 名员工的公司每年会因缺勤、生产率降低和医疗成本增加而损失超过 100 万美元。
疲劳风险管理计划如何应对这一挑战?通过将员工教育和培训与文化变革、工作场所改造和数据驱动分析相结合,来识别和解决问题。
