Microsoft 分享如何保護機敏資料的四大挑戰及如何加以克服

• Microsoft 資深產品行銷經理 Anna Chiang

• Microsoft 資深產品行銷經理 Erica Toelle

對組織而言，敏感資料外洩往往需要付出極高的代價，除了得面對資料損失及股價衝擊，還需面臨違反《一般資料保護規定》(GDPR)、《消費者隱私權保護法案》(CCPA) 和其他法規所衍生的罰鍰。此外，因為這些外洩事件而承受身分識別遭竊、信用卡詐騙或其他惡意活動的受害者，對上述組織的信心勢必會蕩然無存。2021 年的資料外洩事件數量達 1,862 件 (創下 17 年來的最高記錄)，一舉增加了 68%，每個事件的平均成本則為 424 萬美元¹。光是醫療保健業的資料外洩，影響所及層面便高達 4,500 萬人左右，為三年前的三倍之多²。

舉凡組織向客戶、潛在客戶、合作夥伴及員工收集的機密資訊，皆屬敏感資料。常見的敏感資料類型包括：信用卡卡號、住址和生日等個人身分識別資訊 (PII)、身分證字號 (SSN)、產品結構圖等企業智慧財產 (IP)、受保護的醫療資訊 (PHI)，以及可用來識別個人身分的醫療記錄資訊。

無論 IT 作業、資安紅隊和藍隊，還是董事會，組織中的每個層級皆有可能受資料外洩影響。那麼，組織應如何大規模識別敏感資料，並避免意外暴露這些資訊？歡迎閱讀本文，以了解敏感資料的四大挑戰，及其保護策略。

1. 探索敏感資料位於何處

資料探索程序經常為組織帶來意外驚喜 (有時會透過令人不悅的方式)。敏感資料可能存在於組織內讓人意想不到的地點。舉例來說，某位員工可能會在您不知情的情況下，將客戶的身分證字號儲存在未受保護的 Microsoft 365 網站，或其他協力廠商雲端中。根據估計，在 2021 年，約有 2.94 億人遭受駭客入侵，而近 1.64 億人則因資料暴露事件 (將敏感資料儲存在線上且未加保護) 陷入風險之中³。

資料探索程序為確保敏感資料適當存放的唯一途徑。只要掃描資料，即可找出這些讓人跌破眼鏡的資料儲存地點。然而，這項作業幾乎無法透過手動方式處理。

2. 將資料予以分類，以了解哪些項目最為重要

基於上述原因，我們必須藉助於資料分類之力。一旦找出資料的所在地點，就必須為其指派值，並將此做為數據治理的起點。資料分類程序涉及判斷資料敏感度和業務影響層面，唯有如此，才能明智地評估各項風險。此舉有助於保護敏感資料免於遭竊或遺失，繼而更輕鬆地加以管理。

Microsoft 會採用下列幾個分類：

• 非業務相關：來自您個人生活且不屬於 Microsoft 的資料。

• 公用：可免費取得且允許公開使用的業務資料。

• 一般：不允許公開使用的業務資料。

• 機密：若不當外洩，可能對 Microsoft 造成傷害的業務資料。

• 高度機密：若不當外洩，將對 Microsoft 造成嚴重傷害的業務資料。

無論要大規模識別資料，還是透過程序要求員工手動將文件標示為敏感資料，皆屬一大挑戰。許多方法都有助於克服這些資料挑戰，而運用安全性產品來自動標記企業內的敏感資料，則為解決方案之一。

3. 保護重要資料

將資料區分為敏感或高度敏感類別後，您必須加以保護，以防惡意人士有機可乘。整體而言，資訊安全長 (CISO) 和資料長應肩負防範資料意外曝光的重責大任。他們應負責運用備有防護措施的程序和工作流程來保護資訊和分享資料，同時避免對職場生產力造成阻礙。

業界對資料外洩防護的需求正急遽增長。《Allianz 風險壓力檢測》(Allianz Risk Barometer) 年度報告旨在識別企業於過去 12 個月內面臨的首要風險。在 2022 年的報告中，Allianz 集結了來自 89 個國家/地區、2,650 名風險管理專家的深入解析。自這項調查實施以來，網路事件僅兩度登上榜首。而今年，網路事件的風險度高達 44%，一舉超越業務中斷 (42%)、自然災害 (25%) 及疫情爆發 (22%)⁴。

4. 透過數據治理減少不必要的資料風險

數據治理能確保資料可供探索、準確、值得信賴，以及可受保護。資料留存時間必須恰到好處，才能成功管理資料生命週期。資料留存時間不應超過所需的時間，畢竟，留存時間越長，可能遭到外洩的資料量也隨之增加。當然，您也不能過早刪除資料，讓組織陷入違反法規的風險。有時，組織會收集個人資訊，以提供更出色的服務或其他商業價值。舉例來說，您可能會向有意深入了解旗下服務的客戶收集個人資料。若要遵守最低限度的資料原則，請切記：一旦資料再也無法履行其用途，就必須刪除。

如何處理敏感資料

若未善加因應上述挑戰，後果將不堪設想。如果組織違反相關法律或要求，即有可能面臨龐大的財務或法律懲處。舉例來說，在 2021 年，許多知名品牌都被處以高達數億歐元的罰鍰。其中一項罰鍰與違反 GDPR 個人資料處理要求相關。另一項罰鍰則肇因於隱私權政策未向消費者充分說明資料處理做法。自 GDPR 於 2021 年 1 月 28 日生效起，歐盟資料保護主管機關一共收到 12.5 億美元的資料外洩罰鍰⁵。

面對如此高額的潛在財務懲處，您應該如何保護敏感資料？如同先前所提到，資料探索可找出所有敏感資料的儲存地點。若搭配能使用內建或自訂規則運算式識別資料的敏感資料類型支援，將可大幅簡化相關心力。由於敏感資料無所不在，因此，建議您採用多雲端、多平台解決方案，以善加運用自動化作業。

在資料分類方面，不妨藉助於技術 (而非使用者) 之力，以落實相關計畫。畢竟，員工往往相當忙碌，還有可能一時忘記或出錯。另外，組織也有可能坐擁成千上萬的敏感文件，手動識別和分類資料可能緩不濟急且不甚精確，因而窒礙難行。針對這方面的需求，請尋求可自動標記、自動分類，並在組織內落實分類的資料分類技術解決方案。舉例來說，可訓練的分類器就能使用資料範例來識別敏感資料。

部分解決方案提供者會將生產力和法務遵循劃分開來，僅試圖強化資料保護措施。相較於上述做法，Microsoft 則建議將資料保護機制整合至現有程序中，以保護敏感資料。考量保護規劃時，請捫心自問：哪些對象可存取資料？資料應該且不應該存放於何處？資料會如何運用？

Microsoft 解決方案提供稽核功能，可觀察並監控資料，但不會加以封鎖。資料能進行覆寫，因此不會對業務造成任何妨礙。此外，也請將長期存取 (身分識別控管) 和檔案保護措施納入考量。資料外洩防護工具可保護敏感文件，在法律和法規的要求下，公司必須將此視為一大要務。

探索資料保護策略

安全性風險伴隨著極高的代價。舉凡資料探索、資料分類和資料保護策略，都能協助您找出並進一步保護貴公司的敏感資料。歡迎深入了解如何保護敏感資料。

如需深入了解 Microsoft 安全性解決方案，請前往我們的網站。歡迎將安全性部落格加入書籤中，一手掌握 Microsoft 專家所提供的安全性建議。此外，也請透過 @MSFTSecurity 關注我們，以獲得網路安全的最新消息和更新資訊。

欲瞭解更多，請至微軟官方部落格