惠普台灣表示,這項由Ponemon Institute組織進行的資訊科技(IT)產業及安全管理研究報告,訪問對象跨越13個國家,包含澳洲、巴西、法國、德國、香港、印度、義大利、日本、韓國、新加坡、西班牙、英國與美國,共調查超過5000多位企業IT及資安管理人員。
研究報告中,52%受訪者表示,特殊權限使用者可以取得高於本身權限許可的機密資料;而60%受訪者表示,特殊權限使用者經常很容易取得與其工作職掌無關的機密資料。
研究報告也指出,濫用特殊帳號權限的嚴重程度,每個國家不盡相同,法國、香港與義大利被檢測出濫用權限程度較為嚴重,德國、日本與新加坡的情況較輕。
另外,將近80%受訪者表示,建置一套安全資訊和事件管理(SIEM)系統,是監控特殊帳號權限有效的解決方案。
惠普台灣表示,這顯示企業對於資料庫管理者、網路工程師及IT資安人員等「特殊權限使用者」的監管不甚周延,容易增加企業機密資料外洩風險。
報告也指出,「顧客個資」與「企業業務資料」所面臨的安全風險最高,特別是在相關的應用軟體存取企業內部系統、行動通訊、社群網路等系統;且有將近4成的受訪者表示,對於公司存取資訊權限的規定並非全盤了解,特別是不確定現行特殊權限使用者的行為是否合乎規範。
惠普台灣說,企業已試圖用不同方式掌控這樣的狀況,有27%受訪者表示,公司現行以身分確認系統與存取控管方式,來管控資料管理系統的相關人員;24%受訪者表示,公司有制定相關作業程序來管控資料;但仍有15%受訪者認為公司對資料取得的權限掌控不佳;也有近11%的受訪者認為取得資料的權限實際上無法被有效辨識。
惠普科技企業安全解決方案事業單位副總裁芮里(Tom Reilly)表示,這項研究顯示,企業暴露在風險中的原因,在於沒有將存取機密文件的權限視為關鍵,企業需要更完善的管理規章與更強化的安全智能科技解決方案,來加強機密資料的控管。