Kordia 2026报告除数据盗窃之外还识别出了哪些新兴威胁？

报告将员工不当使用AI列为最紧迫的新兴威胁之一，例如员工将敏感数据输入外部AI工具或使用未经批准的AI平台。

员工滥用AI工具通常被认为是故意为之还是无意之举？

根据报告，员工不当使用AI通常并非出于恶意，而是便利凌驾于谨慎之上的结果。

为何个人数据在如此高比例的成功网络攻击事件中遭到泄露？

个人信息分散存储于多个系统中，在组织内部被广泛共享，并由各层级员工频繁访问，这意味着任何成功的入侵在被检测之前都有相当大的概率触及个人数据。

Kordia报告调查了哪些类型的组织？

Kordia报告对新西兰各行业、各规模的企业进行了调查，呈现了网络事件在实践中如何真正发生的区域性快照。

Kordia 2026报告：新西兰17%的网络事件以数据盗窃告终

一份新发布的行业报告正在对大多数组织知道存在但难以衡量的问题给出精确数字：个人数据盗窃网络事件如今在所有安全事件中占据相当大的比例。根据《2026年Kordia新西兰企业网络安全报告》，17%的网络事件——大约每六起中就有一起——导致个人信息遭到未经授权的访问或盗窃。与此同时，报告还将员工不当使用AI列为当今组织面临的最紧迫的新兴威胁之一。

这些发现共同描绘出一个威胁环境正在加速演变的图景，其速度已超出许多传统防御体系所能应对的范围。

Kordia 2026报告的实际发现

Kordia报告对新西兰各行业、各规模的企业进行了调查，使其成为网络事件在实践中如何真正发生的最具参考价值的区域性快照之一。17%的事件以个人数据泄露告终，这一核心数据之所以引人注目，是因为它捕捉的是一个具体的结果，而非仅仅是攻击量或攻击类型。

许多网络安全报告侧重于攻击如何发起：网络钓鱼邮件、凭证泄露、未修补的软件漏洞。而本报告将注意力引向攻击的终点——对于相当大比例的事件而言，终点是某人的个人信息脱离了组织的掌控。这一区别对于以监管机构、客户和董事会真正关心的方式理解风险至关重要。

报告还将员工不当使用AI列为一项新兴挑战。这是指员工将敏感数据输入外部AI工具、使用未经批准的AI平台，或在尝试自动化工作时共享机密信息。在大多数情况下，这并非出于恶意，而是便利凌驾于谨慎之上的结果。

为何每六起事件中就有一起导致数据泄露

17%这一数字反映了现代组织处理数据方式中的几个结构性现实。个人信息往往分散存储于多个系统中，在组织内部被广泛共享，并由各层级的员工频繁访问。这种分布意味着任何成功的入侵在被检测和遏制之前，都有相当大的概率触及个人数据。

这也反映出个人信息作为攻击目标的高价值性。获得网络访问权限的攻击者往往专门寻找姓名、联系方式、财务记录和身份信息。这些信息具有直接的转售价值，并可用于后续的欺诈和社会工程攻击。

事件发生与个人数据被确认泄露之间的时间差也是一个因素。检测延迟给了攻击者更多时间来定位和窃取最有价值的记录。缺乏完善日志记录、网络分段或监控能力的组织，往往只有在数据已经外泄之后才能发现泄露事件。

这种模式并非新西兰独有。它与研究人员在全球范围内记录的情况相吻合：受监管实体和资源充裕的组织仍然频繁出现个人数据处理失当的问题，正如欧盟年龄验证应用在上线数分钟内即遭入侵一文所探讨的那样——对安全性的设计假设几乎在一开始就被证明过于乐观，并带来了致命后果。

AI内部威胁：仅靠VPN无法解决

AI使用方面的发现值得特别关注，因为它代表了一类风险，而现有大多数安全工具并非为应对此类风险而设计。当员工将客户记录粘贴到公共AI助手中，或使用未经批准的生产力工具处理人力资源数据时，没有防火墙触发，没有VPN标记激活，也没有入侵检测系统发出警报。数据通过一个完全合法的渠道流出。

这正是内部人员驱动的数据泄露的核心问题：它往往与正常工作看起来毫无二致。VPN保护的是设备与企业网络之间的连接，但它无法管控员工在获得合法访问权限后对数据的使用方式。加密保护的是在可信端点之间传输中的数据，而无法保护授权用户选择发送至未授权目的地的数据。

在周界安全工具（包括VPN、端点保护和防火墙）上投入大量资源的组织，如果没有解决人员和策略层面的问题，仍然可能面临风险。Kordia的调查结果表明，随着AI工具变得更便宜、更强大，并更深度地融入日常工作流程，这一差距正在扩大。

AI工具格局的快速变化更加剧了这一挑战。六个月前制定的政策，可能根本未能涵盖员工今天正在使用的平台。

构建超越VPN的隐私防御体系

要同时应对数据盗窃率和AI内部威胁，需要采取将技术控制与组织政策和用户教育相结合的分层方法。

在技术层面，数据丢失防护（DLP）工具可配置为检测敏感类别信息何时被发送至外部平台（包括AI服务）。对出站数据传输进行日志记录的网络监控有助于识别异常模式。限制员工访问特定数据的访问控制措施，可以降低任何单一事件的影响范围。

在政策层面，组织需要就已批准的AI工具、哪些数据类别可在外部处理，以及违反政策的后果提供清晰、及时的指导。模糊性本身就是一种风险。不确定某个工具是否获得批准的员工往往会直接使用它，尤其是当该工具能让他们的工作更轻松时。

用户教育仍然至关重要。大多数造成AI相关数据泄露事件的员工并非出于恶意，他们只是在努力提高工作效率。相比泛泛的安全提醒，专门解释某些数据为何不能输入外部AI工具（而非仅仅告知不能这样做）的培训，往往能产生更好的合规效果。

对于个人而言，这份报告是一个有益的提醒，促使人们检查组织持有哪些关于自己的个人数据以及这些数据受到怎样的保护。《加州消费者隐私法》等法律赋予部分消费者对其数据的正式权利，但CCPA的执行在实践中存在重大漏洞，行使这些权利需要主动付出努力。

这对您意味着什么

Kordia 2026报告是一项以新西兰为重点的研究，但其发现所反映的规律在各行业和地区都具有普遍意义。每六起事件中就有一起导致个人数据盗窃，这是一个不容忽视的比率，而不当使用AI作为内部威胁的出现，又增添了一个许多安全项目仍在追赶的新维度。

对于个人而言，这是一个提示，促使您思考自己与企业共享了哪些个人数据、这些数据在泄露事件中可能暴露的程度，以及您是否正在行使现有权利来最大程度地减少这种风险。对于组织而言，这份报告是将安全对话从周界工具延伸至全面数据治理的有力论据。

技术防御是必要的，但还不够。17%这一数字表明，即便在事件发生之后，遏制个人数据影响也需要速度、可见性和明确的政策——而大多数组织仍在努力完善这些方面。审视自己的数据足迹、了解适用隐私法律赋予您的权利，以及持续关注数据泄露的真实发生方式，是任何人今天都可以采取的切实可行的第一步。