2023 年 1 月，英国运动服饰零售商 JD Sports 遭遇网络攻击，导致 1000 万客户的个人和财务信息可能被黑客窃取。泄露的数据包括姓名、地址、电子邮件地址、电话号码、订单历史记录和部分支付卡信息。JD Sports 已向受影响客户发出通知，并建议他们更改密码并密切关注其财务状况。公司还聘请了网络安全专家来调查违规行为并加强其系统。

很多人以为遭遇数据泄露事件没有什么大不了，认为只要重建一下系统或者向用户道个歉然后让用户重置一下密码就可以了。对此，昆明亭长朗然科技有限公司网络安全顾问董志军称：对于垄断机构来讲，这种说法可能有些道理。但是对于正常的商业企业来说，辛苦建立的客户信任，可以在数据泄露之后迅速消失。特别是对于个人信息非常看重的人群来讲，他们可不愿意遭受电信诈骗或广告骚扰，如果有厂商泄露了他们的个人信息，他们肯定会失望透顶。举例来讲，JD Sports 此次数据泄露事件可能对客户产生以下影响：

• 个人信息泄露风险：客户的个人信息（如姓名、地址、电子邮件地址、电话号码）可能被黑客获取，存在个人隐私泄露的风险。
• 财务信息泄露风险：部分客户的支付卡信息也可能受到影响，存在财务安全受损的潜在风险。
• 身份盗用风险：泄露的信息可能被不法分子用于进行身份盗用或其他欺诈活动，给客户带来经济损失和麻烦。
• 信任受损：客户对 JD Sports 的信任可能受到影响，影响其未来与该公司的交易和关系。

分析JD Sports 数据泄露事件的根本原因有助于类似的电商企业吸取经验教训，对于企业了解并采取措施防止今后发生类似事件非常重要。以下是几点根本原因分析：

• 网络安全措施不足： 报告显示，JD Sports 没有采取适当的网络安全措施，如适当的加密和访问控制，导致客户数据容易被利用。
• 缺乏员工培训： 对员工进行的有关数据安全和敏感信息处理的培训和宣传计划不足，可能是造成漏洞的原因之一。
• 过时的系统和软件： 使用不再受支持或已针对已知漏洞打补丁的过时系统和软件，会增加数据泄露的风险。
• 事件响应计划不足： 缺乏健全的事件响应计划和程序来检测、控制和缓解数据泄露，可能会使情况更加恶化。

从原因分析中，我们不难得出以下的经验教训：

• 优先考虑数据安全： 各组织必须将数据安全放在首位，并实施强有力的网络安全措施，包括加密、访问控制和定期安全审计。数据已成生产力，数据的丢失或损毁必将严重影响生产力，甚至影响到企业生存。
• 员工培训和提高认识： 定期对员工进行数据安全、敏感信息处理和潜在威胁识别方面的培训，提高他们的安全意识至关重要。人员是数据和系统的创造者和使用者，亦应当成为安全保护者。
• 不断更新系统和软件： 定期用最新的安全补丁更新系统和软件，更换过时的技术，有助于减少漏洞，降低数据泄露的风险。
• 制定和测试事件响应计划： 实施并定期测试事件响应计划可帮助企业更有效地检测、控制和缓解数据泄露，最大限度地减少对客户和利益相关者的影响。
• 遵守法规： 确保遵守相关数据保护法规，如《通用数据保护条例》（GDPR）、网络安全法、数据安全法、个人信息保护法或行业特定法规，可帮助企业保持适当的安全标准，避免潜在的罚款或法律后果。
• 第三方风险管理： 在与处理敏感数据的第三方供应商或服务提供商合作时，进行尽职调查并实施适当的安全措施至关重要。
• 持续改进： 企业应不断审查和改进其网络安全实践，保持警惕并适应不断变化的威胁和最佳实践。

通过了解 JD Sports 数据泄露事件的根本原因并吸取教训，企业可以加强其数据安全态势，保护客户信息，并保持与利益相关者的信任。如果有企业需要这方面的帮助，特别是员工培训和意识提升，欢迎联系我们。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com

网络安全需要完善的系统化的管理，涉及制度、技术和人员等多种要素。网络安全事件的成因有多种，归根结底是安全管理的控管措施不到位。如下，我们将细数造成安全事件的十种常规根本原因，并简要分析和给出整改建议。

1. 缺乏安全策略和程序：制定明确的安全策略和程序有助于确保员工在保护组织资产时了解自己的角色和责任。定期审查和更新安全政策和程序有助于确保它们有效且最新，并获得落地实施。
2. 缺乏安全意识：员工如果不了解组织数据和系统的潜在风险和威胁，就更有可能犯错误或成为网络攻击的受害者。有关网络安全最佳实践的定期培训和教育可以帮助员工了解其在保护组织资产方面的作用的重要性。
3. 缺乏访问控制：访问控制不足可能会导致未经授权的个人访问敏感信息和系统，从而增加网络攻击的风险。通过部署强大的访问控制（例如多因素身份验证）可以帮助防止未经授权的访问并降低违规风险。
4. 过时的软件和系统：使用过时的软件和系统可能会产生可供网络犯罪分子利用的漏洞。定期更新软件和系统有助于确保修补所有已知漏洞，并保护组织的系统免受已知威胁。
5. 网络安全性差：网络安全性差可能会使组织的系统和数据容易受到攻击。通过实施强大的网络安全措施（例如防火墙和入侵检测系统）可以帮助防范外部威胁并防止对组织系统的未经授权的访问。
6. 缺乏事件响应计划：制定应对网络攻击的计划可以帮助组织最大限度地减少漏洞的影响并快速从事件中恢复。制定事件响应计划并定期测试可以帮助确保组织准备好应对网络攻击。
7. 缺乏员工培训：未接受过网络安全最佳实践培训的员工更有可能犯下可能导致违规的错误。这凸显了对员工进行网络安全最佳实践教育以及实施政策和程序以减少人为错误风险的重要性。
8. 缺乏物理安全：物理安全措施，例如锁和警报器，可以帮助保护组织的资产免遭盗窃或损坏。安装和实施强大的物理安全措施有助于防止未经授权访问组织的系统和数据。
9. 缺乏供应商安全：有权访问组织系统和数据的供应商如果没有采取足够的安全措施，可能会带来重大风险。配置和实施强大的供应商安全策略并定期审核供应商安全有助于降低违规风险和减少安全事件。
10. 缺乏事件响应测试：定期测试事件响应计划可以帮助确保组织做好应对网络攻击的准备。测试事件响应计划还可以帮助识别组织响应能力中的任何差距或弱点。

在这其中，人为错误是网络安全事件的一个重要因素。国际商业机器公司和威瑞森公司的研究表明，人为错误分别造成了大约 95% 和 82% 的数据泄露。要修复人为错误，比修复系统以及流程中的弱点，难多了。需要建立整体的网络安全意识教育计划，该通常通过如下多种方式提供：

• 培训视频，提供有关安全威胁、漏洞和响应的信息的在线视频或动画。动画视频是一项普及性无关具体产品的安全意识培训视频系列内容资源，该培训内容适用于各种组织的所有最终用户。动画视频短小精悍，多媒体内容丰富，所有知识点均由资深网络安全专家编写，具有强大的动态图形、故事案例或真实场景，由教学设计师、图形设计师和动画设计师开发。这些培训视频可以集成到组织内部的学习管理系统中，也可以利用组织选择的外部托管学习管理系统进行部署，还可以通过各种电子屏幕、网络沟通平台进行传播。
• 演示文稿，有关网络钓鱼诈骗或社会工程攻击等主题的演示文稿文档。演示文稿适合比较初级的安全意识宣教活动。
• 宣传邮件，定期发送电子邮件，涵盖密码安全或网络钓鱼等重要主题。宣传邮件中可以包含简要的策略文件、当前的威胁形势、行业相关的真实案例、以及宣传图片等。
• 在线学习，使用交互式的电子学习课程，追踪学习进展衡量学习成效。培训模块通过涵盖组织各个级别的员工所需的关键知识培训来解决内部威胁，游戏化互动让用户保持参与，每个模块末尾都有简短的测验来评估学员的理解程度。基于网络的电子课件符合行业SCORM标准，并且可以上传到任何符合SCORM标准的学习管理系统，以用于跟踪和报告目的。员工可以随时随地通过安全意识服务网络培训进行自我教育和继续学习，安全培训负责人员可以随时随地查看学员们的学习进度报表，以了解学员们的安全认知情况并采取必要的推进措施，进而确保组织的网络安全。
• 模拟钓鱼，使用类似黑客的网络钓鱼的手法，主动检测钓鱼识别技能。模拟网络钓鱼攻击使用无害的方式欺骗个人的活动。要谨慎和透明地进行这种类型的模拟，以避免造成不必要的恐慌或混乱。记住，模拟的目的不是欺骗员工，而是教育他们如何识别和避免网络钓鱼诈骗。 确保以透明的方式进行模拟，并为员工提供确保在线安全所需的资源。

昆明亭长朗然科技有限公司创作了海量的安全意识动画视频、电子图片和课程模块。欢迎有兴趣的客户及伙伴联系我们，预览我司的在线课程内容资源，以及体验在线学习平台的功能。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com