“糟糕！邮件发错人了！”生活中不少人出现过这种“意外”，但如果这个意外出现在了工作中，那可就是另一回事儿了。随着监管机构和企业本身对数据保护更加重视，数据意外泄露（最常见的是误发电子邮件）的后果可能更加严重。

幸运的是，很多企业已经意识到此问题严重性。超过70％的高管认为他们的组织在过去五年中经历过一次“意外”的内部违规。几乎一半（44％）的人认为使用公司电子邮件账户时会发生这种情况。这两个统计数据之间的是明显关联的，人们越来越认识到一个新的网络安全层面必须得以关注——人为层面的安全。

商业电子邮件（欺诈）损害Business Email Compromise （简称BEC）的增长凸显了电子邮件的脆弱性。BEC攻击通常是冒充经理或公司高管，发送电子邮件给那些疏忽、没有防护意识或是忙得焦头烂额的员工。而内容往往是让他们做一些琐碎的繁杂的小事儿。制造BEC骗局的不法分子知道如何让自己的信息看起来合乎逻辑，而且大多数接收者不会仔细检查收到的每一封电子邮件。通常这些骗子只需要成功一次就挖到了“金矿”或者渗透进被害者公司的内网。

BEC攻击的案例增多清楚地说明了假冒电子邮件带来的风险。联邦调查局已就这些骗局发出多次警告，目前，BEC攻击造成的损失总计已超过260亿美元。在2018年5月至2019年7月之间，已发现的BEC攻击造成的的损失增长了100％。数量的增加部分原因是因为人们对欺诈的了解有了更多的认知，鼓励人们向国际和金融合作伙伴进行报告。美国约50个州和177个国家/地区都曾报告过该骗局。

监管机构和政府机构已经注意到这一点，新出台的《加州消费者隐私法》(CCPA)已经影响了电子邮件安全事件，该法案对违规者将处以重罚。其他州也都效仿加州的做法，正在部署更好的措施来保护通过电子邮件共享的数据内容，这已经成为众多组织的首要任务。

俗话说，解决问题的第一步是承认自己有问题，不少公司已经意识到员工的意外违规行为所带来的威胁。企业和个人的电子邮件发送意外仍是数据泄漏背后的主要原因。如果公司或组织能够发现这些弱点，那还是挺让人欣慰的。

既然问题已被发现，现在就该解决它了。其中重要的一步是尽量多地使用加密技术。而事实证明，人为层面安全性的提升是防止“意外”损害的重要措施。诸如与语境相关的智能技术的使用为机构提供了一种新防御武器，它不仅可以有效协助防止潜在的违规行为，而且可以使员工在错误发生之前纠正自己的错误。

44%的员工承认他们可能通过电子邮件意外泄露了机密信息，但由于担心后果而没有报告给安全团队。无论是出于害怕受到惩罚、声誉受损或其他后果的考虑，许多人都有可能对自己这个看似小的错误守口如瓶。不幸的是，这类事件的漏报使BEC骗局的价格标签已经上涨到了260亿美元。与语义相关的智能机器学习通过了解员工的“正常”行为来改善这种情况。也就是说，它学习员工通常与谁交换电子邮件以及他们讨论什么等等，并标记出潜在的异常行为，让他们有机会在错误发生之前纠正错误。

CCPA对未能适当保护数据的处罚是严厉的，违规者将被处以最高2500美元/人（信息泄露所涉及的人）的罚款，所有个人数据被泄露的人数都包含在内。就目前发生个人数据泄露的案例来看，受数据泄露影响的人数可能达到数百万，这意味着单单是经济罚款，其数目就可能是惊人的。这甚至还没有包含攻击造成的其他损失，例如声誉和其他损害。尽管没有完美的系统，但人为层面安全案例的出现为组织提供了一种重要的新方法，不仅可以保护自己并确保合规性，还可以培养出这样一种文化——让员工感到被信任，并有权自我纠正哪怕是最简单的错误。

*本文出自SCA安全通信联盟，转载请注明出处。