법률 분야 IT 리더 중 무려 96%가 다음과 같이 말합니다. 내부자 위반 Egress에 따르면 위험은 중요한 관심사입니다.
77%는 직원들이 지난 12개월 동안 실수로 데이터를 위험에 빠뜨렸다고 생각하고, 78%는 직원들이 의도적으로 데이터를 위험에 빠뜨렸다고 생각합니다. 이러한 위반이 미치는 영향에 대해 질문했을 때 36%는 금전적 피해가 가장 큰 영향을 미칠 것이라고 답했습니다.
영국, 미국, 베네룩스 지역에서 500명 이상의 IT 리더와 5,000명 이상의 직원을 대상으로 설문 조사를 실시했습니다. 이들 중에는 IT 리더 106명과 법률 부문 기업 직원 1,001명이 포함됐다.
법률 부문 직원의 응답에 따르면 데이터 공유 시 회사 정책을 고의적으로 또는 우발적으로 위반했음을 인정할 가능성이 다른 부문의 직원보다 두 배 더 높습니다. 전체 부문 평균 57%에 비해 29%는 의도적으로 회사 정책을 위반했다고 답했으며, 실수로 위반했다고 답한 비율은 56%(평균 27%)에 비해 높았습니다.
법률 부문의 IT 리더들은 향후 침해 위험에 대해 평균보다 더 비관적입니다. 44%는 직원들이 내년에 데이터를 위험에 빠뜨릴 가능성이 있다고 답했습니다. 이는 평균보다 XNUMX% 포인트 높은 수치입니다.
내부자 침해를 방지하기 위한 전통적인 기술에 대한 의존
이번 조사에서는 내부자 침해를 방지하기 위해 전통적인 기술에 의존하는 우려 사항이 밝혀졌습니다. 법률 부문 IT 리더 중 절반 이상이 바이러스 퇴치를 위해 안티바이러스 소프트웨어를 사용하고 있다고 답했습니다. 피싱 공격 43%만이 이메일 암호화를 사용하고 있습니다.
또한, 사고 자체 보고에 대한 의존도가 우려스럽습니다. IT 리더의 61%는 내부자 데이터 침해를 감지하는 가장 가능성 있는 방법은 직원에게 알리는 것이라고 말합니다.
출구 토니 페퍼 CEO는 이번 조사 결과가 IT 리더들이 내부 침해의 불가피성을 체념하고 적절한 위험 관리 프로세스와 기술을 갖추지 못하고 있음을 보여준다고 믿습니다. “처리하는 정보의 민감도를 고려할 때 법률 산업은 우발적이거나 의도적인 내부 데이터 침해로 인해 가장 위험한 분야 중 하나입니다.
“지속적인 위험을 인정하면서도 이상하게도 IT 리더들은 위협을 완화하기 위한 새로운 전략이나 기술을 채택하지 않았습니다. 그들은 또한 사고를 스스로 보고하는 데 직원에게 너무 많이 의존하고 있는데, 우리 분석에 따르면 이는 전혀 효과적이지 않습니다.
“본질적으로 그들은 다음과 같은 방식을 채택하고 있습니다. 위험 자세 데이터를 위험에 빠뜨리는 직원의 최소 44%는 허용 가능한 것으로 간주됩니다.
“데이터 유출에 대한 심각한 처벌은 IT 리더가 더 나은 조치를 취해야 함을 의미합니다. 위험 관리 전략, 고급 도구를 사용하여 내부자 사고를 방지합니다. 또한 위험 벡터에 대한 더 나은 가시성이 필요합니다. 사고 보고를 직원에게 의존하는 것은 허용 가능한 데이터 보호 전략이 아닙니다.”
실수로 인한 내부 데이터 유출의 가장 큰 원인은 잘못 전달된 이메일과 피싱 이메일입니다.
실수로 데이터를 유출한 법조계 직원 중 55%는 피싱 이메일 때문에 그렇게 했다고 답했습니다. 31%는 예를 들어 이메일 등을 통해 잘못된 사람에게 정보를 전송하여 침해를 발생시켰다고 말했습니다. 이는 61%가 Outlook 리콜 메시지나 이전에 실수로 보낸 이메일을 무시하라는 메시지를 받았다고 답했다는 사실에서 강조됩니다. 이 수치는 모두 연구 평균을 초과합니다.
Tony Pepper는 덧붙입니다. “실수로 잘못된 수신자에게 데이터를 보내는 사고는 이메일에 액세스할 수 있는 한 계속 존재해 왔습니다. 기본적인 커뮤니케이션 도구로서 조직은 데이터 보안 고려 사항과 효율성의 이점을 비교하여 후자를 타협하는 경우가 많습니다.
“그러나 우리는 상황에 맞는 도구를 사용하여 도구가 구축되는 전례 없는 기술 개발 시대에 있습니다. 기계 학습 잘못 전달된 이메일, 통신에 잘못된 첨부 파일 추가, 자동 완성 실수, 직원이 암호화 도구를 올바르게 사용하지 않는 등의 일반적인 문제를 해결할 수 있습니다. 조직은 이메일을 안전하게 보호하기 위해 이러한 발전에 적응해야 합니다.”
법률 부문의 데이터 소유권에 대한 직원의 잘못된 견해
또한 설문 조사에서는 데이터 소유권에 대한 직원의 오해가 정보 보안에 부정적인 영향을 미치는 것으로 나타났습니다. 작년에 자신이나 동료가 회사 정책에 반하여 의도적으로 데이터를 공유했다고 답한 57% 중 58%는 새 직장으로 데이터를 가져갈 때 그렇게 했다고 답했고, 21%는 공유할 때 위험을 감수했다고 답했습니다. 올바른 보안 도구가 제공되지 않았기 때문입니다.
이런 무모한 접근 방식은 데이터 보호 데이터 소유권과 책임에 대한 직원의 견해로 설명될 수 있습니다. 설문 조사에 참여한 법조계 직원 중 56%는 데이터가 조직에만 속한다고 믿지 않으며, 11%만이 모든 사람이 데이터를 안전하게 유지할 책임이 있음을 인식하고 있습니다.
“직원들은 자신이 생성하고 작업하는 데이터를 소유하고 싶어하지만 이를 안전하게 유지할 책임은 원하지 않습니다. 이는 데이터 보호 노력에 있어 해로운 조합입니다.”라고 Tony Pepper는 말했습니다.
"직업을 바꿀 때 데이터를 가져가려는 경향과 데이터를 공유할 때 위험을 감수하려는 의지를 더하면 보안 전문가가 직면한 문제의 규모는 놀라울 정도입니다."
최근 상황을 고려하면, 대용량 멀티미디어 파일을 보낼 수 있는 방법을 찾거나 갑자기 이메일을 통해 더 많은 데이터를 공유해야 하는 재택근무하는 법률 직원이 전례 없이 많아질 것입니다. 이러한 작업 행동 변화에 대한 위험을 사전에 식별하고 해결하면 보안을 강화하고 compliance.
출처: https://www.helpnetsecurity.com/2020/03/25/legal-industry-breaches/
