讓我們壹起來思考壹個問題: 企業數據所面臨的最大安全威脅是什麽?如果妳的回答是黑客攻擊或者說是IT人員的違規行為的話,那並不完全正確。的確,黑客的惡意攻擊總能引起人們的高度重視,IT人員的惡意違規行為更是不能容忍,但事實上,最有可能泄露企業數據的卻往往是那些沒有絲毫惡意的員工,換句話說,內部員工使用網絡文件***享或者亂用筆記本電腦造成數據泄露的可能性最大。
據Ponemon Institute最新的調查報告顯示,內部員工的粗心大意是到目前為止企業數據安全的最大威脅,由此造成的數據安全事故高達78%。在這份報告中還指出,在企業不斷嘗試和應用最新企業內部數據保護技術的同時,卻沒有充分意識到企業內部員工的筆記本電腦以及其他移動存儲設備所存在的安全隱患。
存儲網絡工業協會(SNIA)曾發布過企業存儲安全性自我評估方法,用來測試企業對數據的保護程度。結果顯示,目前大多數企業受到數據泄露問題的困擾。ITRC(Identity Theft Resource Center)的資料也顯示,在美國,2008年出現的數據泄露事件比上壹年增長了47%。“況且這些還只是有記載的數字,我的電子郵箱裏就經常收到壹些促銷信息,顯然我的個人信息通過某種渠道被泄露了。” ITRC的創始人、身份認證管理專家Craig Muller說。
事實上,現在人們應該充分意識到問題的嚴重性了。Ponemon Institute在2008年進行的另壹項調查顯示,在1795名受訪者中有超過壹半以上的人表示其在過去24個月中被告知數據泄露的次數大於兩次,而8%的人則表示收到過四次以上這樣的通知。但是,到目前為止,企業還不知道該如何保護自己。在Ponemon Institute的這份調查中顯示,在577名安全專家中僅有16%的人認為當前的安全措施足以保護企業的數據安全了。
目前,解決問題惟壹的方法就是借鑒其他企業的前車之鑒,以避免自己出現類似的問題。下面介紹五種常見的數據泄露問題,每種情況我們都給出了規避安全風險的建議。
內部竊取
2007年11月,Certegy Check Services(Fidelity National Information Services的壹家子公司)的高級數據庫管理員利用特許的數據存取權限偷走了超過850萬客戶的數據資料。隨後,他將數據賣給了壹家中間商,價格是50萬美元,之後這家中間商又將數據賣給了其他商家。事情敗露後,這名員工被判入獄四年並負責賠償320萬美元的經濟損失。Certegy Check Services官方宣稱事情很快就得到了解決,客戶的個人信息並沒有被泄露,不過,其客戶還是收到了其他廠商發來的促銷信息,而這些廠商恰恰購買了被竊數據。
還有壹個案例,壹位在DuPont工作的技術專家在離開公司之前拷貝了價值4億美元的商業機密,然後跳槽到了壹家與DuPont競爭的亞洲公司。根據法院的記錄,他利用特許存取權限下載了大約2.2萬份摘要以及1.67萬份PDF文件,這些文件記錄了DuPont的主要產品線,其中還包括壹些開發中的新技術。他在下載數據之前與DuPont的競爭對手討價還價了兩個月之久,並最終達成了“協議”。依據這些犯罪記錄,法院宣判其服刑18個月。
代價:在DuPont的案例中,雖然最終美國政府為其損失補償了18萬美元,但其被泄露的商業機密估計價值超過4億美元。而且,沒有任何證據可以證明,DuPont泄露的數據已經被競爭對手,也就是上述那位技術專家的“同謀”得到,這就使得DuPont無法通過更有效的法律途徑解決問題。
據Semple的研究顯示,客戶信息失竊比知識產權失竊帶來的損失更大。在2008年,Certegy Check Services公司為客戶信息丟失所付出的代價是每人每次2萬美元。
分析:ITRC的報告中顯示,在2008年發生且被記錄下來的泄露事件中有16%是由內部竊取所造成的,是2007年的兩倍。原因是,現在很多企業在“獵頭”的同時,還伴隨著商業犯罪—根據卡內基梅隆大學計算機應急響應小組(CERT)的研究,1996年到2007年企業內部犯罪有壹半是竊取商業機密。
CERT指出,內部人員竊取商業機密有兩大誘因:壹是能夠獲得金錢;二是能夠獲得商業優勢。雖然後者多是從員工準備跳槽開始的,但這類情況大都是在員工離開以後才被發現,因為其留下了秘密訪問數據的記錄。可見,內部威脅是數據安全管理的難題之壹,尤其是對那些有特許權限的員工的管理更是如此。
建議:首先,建議企業做好對數據庫非正常訪問的監督,為不同用戶的當前可用訪問權設定限制,這樣系統就可以很容易地檢測出負責特定工作的員工是否訪問了超出工作範圍的數據。比如,Dupont公司就是因為檢測到該技術專家異常訪問了電子數據圖書館才發現了其非法行為的。此外,壹旦檢測到了數據泄露,最重要的就是快速行動以減小信息擴散的可能性,並提交法律機關迅速展開取證調查。
其次,企業應當使用個人訪問控制工具,保證系統記錄下每壹個曾經訪問過重要信息的人。此外,保存客戶和員工信息的數據庫更應當對訪問加以嚴格限制。事實上,就日常工作而言,能有多少人在沒有許可的情況下有查閱身份證件號碼和社會保險號碼的需要呢!因此,個人信息應該與商業機密有著相同的保密級別。
再次,建議使用防數據丟失工具以防止個人數據在通過電子郵件、打印或者復制到筆記本電腦及其他外部存儲設備時發生泄露。這類工具會在有人嘗試拷貝個人身份數據時向管理員發出警告,並做記錄。但是目前,很多企業都沒有應用類似的審查記錄工具。
此外,加強內部控制和審計也非常重要。舉個例子,企業可以通過設立網絡審查或記錄數據庫活動等方式來進行監督。保存詳細記錄可能並不夠,企業還需要通過審計方式來檢查是否有人更改或者非法訪問了記錄。當然,單獨依靠技術手段是不行的,企業還需要確保妳所信任的數據使用者是真正值得信任的。
設備失竊
2006年5月,由於美國退伍軍人事務部的壹名工作人員丟失了自己的筆記本電腦,致使2650萬退伍軍人的個人資料丟失。萬幸的是,最後小偷被捕,並沒有釀成更嚴重的後果。雖然事後FBI(美國聯邦調查局)宣稱數據沒有被泄露,但這個事件的發生還是給退伍軍人事務部帶來了巨大的影響。無獨有偶,2007年1月,退伍軍人事務部在阿拉巴馬醫務中心同樣發生了筆記本電腦被盜事件,致使53.5萬退伍軍人和超過130萬內科醫生的個人數據被泄露。
代價:在事件發生後的壹個多月的時間裏,退伍軍人事務部為了支撐回答人們關於數據被竊問題的電話應答中心,每天就要花費20萬美元,此外,他們還要支付100萬美元用來打印和郵寄通知信。
退伍軍人事務部因此還遭到了聯名起訴,起訴中包括要求其對每個人造成的損失賠償1000美元。在2007年第二次數據泄露事件之後,退伍軍人事務部為現役和已經退伍的軍人總***賠償了2000多萬美元,才結束了這場聯名訴訟。為此,美國政府還為其撥款2500萬美元用來補償損失。
分析:設備失竊成為了數據泄露的最主要原因—在2008年,大約占到了20%。據芝加哥法律事務所Seyfarth Shaw的合夥人Bart Lazar介紹,在他所處理的數據泄露案件中,由於筆記本電腦丟失而造成的數據泄露占絕大部分。
建議:首先要對存儲在筆記本電腦上的個人身份信息加以限定。比如說,不要將客戶和員工的名字與其身份證件號碼、社會保險號碼、信用卡號碼等身份信息放在壹起保存。可以將這些數字“截斷”存儲,或者考慮建立個人特殊信息,比如說將每個人的姓氏與社會保險號碼的後四位連在壹起保存。
其次,對筆記本電腦上存儲的個人信息進行加密,盡管這會產生壹些潛在成本(大約每臺筆記本電腦50到100美元),同時還會損失壹些性能,但這是必須的。美國存儲網絡工業協會負責存儲安全的副主席Blair Semple曾表示,對數據進行加密,需要企業和員工都形成這種強烈的意識才行,在很多情況下,對數據進行加密並不困難,但人們卻沒有這麽做,不難看出,管理層面上的問題才是最大的。
最後,建議在數據載體上設置保護性更強的口令密碼。
外部入侵
2007年1月,零售商TJX Companies 發現其客戶交易系統被黑客入侵,令人不解的是,此入侵從2003年就已經開始了,壹直延續到2006年12月,黑客從中獲取了9400萬客戶的賬戶信息,而數據被盜事件在4年後才因壹次偽造信用卡事件被發現。2008年夏天,11人因與此事相關而被起訴,這是美國法律部門有史以來受理的最大規模的黑客盜竊案件。
代價:據估計,TJX在此次數據泄露事件中的損失大約在2.56億美元,包括恢復計算機系統、法律訴訟費、調查研究以及其他支持費用,損失中還包括對VISA和MasterCard的賠償。此外,美國聯邦商務委員會還要求TJX必須每隔壹年委托獨立的第三方機構進行安全檢查,並持續20年。
甚至有人預測,TJX因此受到的損失會達到10億美元以上,因為還要將法律和解費用以及因此失去很多客戶的代價計算在內。據Ponemon在2008年4月進行的壹項研究表明,通常發生數據泄露事故的企業將會失去31%的客戶基礎和收入來源。在Ponemon最近發布的年度數據泄露損失統計報告中顯示,每泄露壹份客戶信息,公司就將損失202美元,而在1997年,這個數字是197美元,其中因數據泄露失去的商業機會所帶來的損失是損失增長中最重要的部分。
分析:據Ponemon的研究,黑客入侵造成的數據泄露在安全威脅中名列第五。據ITRC的調查,在2008年有記載的數據泄露事件中有14%是由黑客攻擊所造成的。但這並不意味著企業對此就應該束手無策,甚至放任不管。
在TJX的案例中,黑客是利用War-Driving滲透到系統內並入侵企業網絡的。而這主要是因為TJX使用的網絡編碼低於標準規格,且在網絡上的計算機並沒有安裝防火墻,傳輸數據也沒有進行加密,這才使得黑客可以在網絡上安裝軟件並訪問系統上的客戶信息,甚至還可以攔截在價格檢查設備、收銀機和商場計算機之間傳輸的數據流。
建議:如果對數據庫的訪問非常容易的話,那麽建議企業使用高級別的數據安全措施和數據編碼。
員工大意
Pfizer公司的壹名員工壹直是通過網絡和筆記本電腦進行遠程辦公的,沒想到,他的妻子在其工作用的筆記本電腦上安裝了未經授權的文件***享軟件,致使外部人員通過這個軟件獲得了1.7萬名Pfizer公司現任員工和前任員工的個人信息,其中包括姓名、社保賬號、地址和獎金信息等。統計顯示,大約有1.57萬人通過P2P軟件下載了這些數據,另外有1250人轉發了這些數據。
代價:為了將數據泄露事件的危害降至最低,並避免類似事件的發生,Pfizer與壹家信用報告代理商簽署了壹項“支持與保護”合同,合同包括對與泄露數據相關的信息進行為期壹年的信用監控服務,以及壹份因數據泄露對個人損失進行賠償的保險單。
分析:據Ponemon的最新研究表明,粗心的員工(雖然不是故意的)是數據安全的最大威脅。有數據顯示,88%的數據泄露與員工的大意有關。如果企業的員工能夠具有更高的安全意識,數據泄露的數量將會大幅下降。在Pfizer的案例中,就是因為員工的妻子在其筆記本電腦上安裝了文件***享軟件,這才使得其他人能夠通過P2P軟件獲得筆記本電腦上的數據,包括Pfizer公司的內部數據信息。
大意的員工再加上文件***享軟件,這絕對是個危險的組合。Dartmouth College在2007年的研究表明,雖然大部分企業不允許在企業網絡上安裝P2P軟件,但是很多員工卻在遠程計算機和家用PC上安裝了這種軟件。研究發現,有三十家美國銀行的員工在使用P2P軟件分享音樂和其他文件,並在不經意間向潛在的網絡犯罪分子泄露了銀行賬戶數據。壹旦業務數據發生泄露,將會通過P2P軟件擴散到全世界的很多計算機上。
建議:企業的IT部門應該全面禁止員工使用P2P軟件,或者制定規章限制P2P的使用,並安裝工具來強化這壹規章。並且,應該對員工的計算機系統進行審核,阻止員工進行軟件下載。比如,可以將員工的管理員資格取消,這樣他們就不能安裝任何程序了。同時,最重要的就是教育和培訓,因為這樣能夠讓員工了解P2P的危險性。
合作夥伴泄露
2008年11月,亞利桑那州經濟安全部給大約4萬名兒童的家長發出了通知——這些孩子的個人信息可能已經因為代理商將幾個磁盤丟失而被泄露。磁盤雖然有密碼保護,但卻沒有進行加密。
代價:統計數據顯示,對企業來說,合作夥伴將數據泄露的損失往往比企業內部泄露的損失更大。據Ponemon的調查統計,合作夥伴泄露壹份數據記錄企業要損失231美元,而企業內部泄露壹份數據記錄造成的損失約為171美元。
分析:Ponemon的年度損失報告表明,外包、轉包、咨詢和商業合作夥伴造成的數據泄露在不斷增長,去年大約占到所有數據泄露事件的44%,比2007年增長了40%。ITRC的研究也指出,2008年10%的數據泄露與代理商有關。
建議:企業需要簽訂更高服務級別的詳細合同,確保代理商遵守協議,壹旦其違反了合同就能夠對其進行處罰。此外,在使用備份磁帶或者磁盤時,壹定要進行加密和密碼保護。