想想你能猜出存储数据安全面临的第一大威胁是什么呢?如果你说是黑客或者惹事生非的公司内部人员,那你就错了。尽管恶意威胁是个老大难问题,但出于好意的员工更有可能在无意中泄露贵公司的存储数据,比如通过文件共享网络或丢失的笔记本电脑泄露数据。
实际上,安全咨询机构波耐蒙研究所(Ponemon Institute)的一项近期调查发现,粗心大意的内部人员无疑是数据安全面临的最大威胁,占到了所有泄密事件的78%。
在这篇特写报道中,你将了解一些最新的数据保护技术,不但可以保护公司内部的存储数据,还可以保护通过笔记本电脑、磁带及其他移动介质随意进出贵公司的存储数据。
遗憾的是,数据泄密事件对企业界来说已经成了一种生活方式。据美国身份失窃资源中心(ITRC)声称,2008年登记在案的数据泄密事件比前一年增加了47%。身份失窃专家兼加利福尼亚州欧文Identity Doctor公司的创办人Craig Muller表示,而那些事件只是媒体公开报道的事件。他说:“我经常接到电子邮件,说是哪家公司发生了泄密事件。”
公众绝对感受到了疼痛。在2008年波耐蒙研究所开展的一项调查中,美国各地的1795名成人调查对象当中超过一半(55%)表示,自己在之前的24个月里接到过至少两起数据泄密事件通知;8%的人表示接到过至少四起这类通知。
但是公司对于如何保护自己仍然心里没底。在波耐蒙研究所上个月发布的调查中,接受调查的577名安全专业人士当中只有16%表示,自己对目前的安全做法防止客户或员工的数据丢失或被偷表示有信心或很有信心。
提升信心的一个办法就是分析实际的泄密事件,并从中汲取教训。下文剖析了五种常见的泄密事件,并且给出了如何避免类似灾难的忠告。
一、设备被偷
回顾:2006年5月,为美国退伍军人管理局工作的一个分包商在家里丢失了笔记本电脑和存储磁盘后,有关2650万名退伍军人的个人数据被泄密了。后来两样东西都找回来了,相关人员也被绳之以法。联邦调查局声称,数据没有被窃取;但这起事件促使退伍军人管理局进行全面整改。然而,2007年1月发生了另一起泄密事件:当时退伍军人管理局在亚拉巴马州的一家医疗机构丢失了一台笔记本电脑,结果导致53500名退伍军人和130余万名医生的个人数据泄密。
代价:到2006年6月,退伍军人管理局每天花20万美元来运营呼叫中心,答复有关泄密事件的问题。它还花费100万美元打印及邮寄通知函。经过批准,退休军人管理局重新划拨了多达2500万美元的资金,以支付这些成本。一群人还提起了集体诉讼案,包括要求为受到影响的每个人赔偿1000美元。在2007年那起事件后,退伍军人管理局另外留出了2000万美元,以支付泄密事件有关的成本。该部门最近同意向目前及以前的军事人员支付2000万美元,以调解集体诉讼案。
提醒:设备丢失或被偷在所有泄密事件中占了最多的比例——ITRC表示,2008年约占20%。据律师事务所Seyfarth Shaw芝加哥办事处的合伙人Bart Lazar表示,涉及丢失或被偷笔记本电脑的事件占了他平时接手的数据泄密案件的大部分。
教训:Lazar建议禁止把个人识别信息放在笔记本电脑上。比方说,不要把客户或员工的姓名与其他识别信息(比如社会保障号或信用卡号)联系在一起;另外,你可以截短这些号码。还有,不妨考虑使用自己的独特识别信息,比如把某人姓名中的几个字母与社会保障号的后四位数结合起来。
第二,要求笔记本电脑上的个人信息进行加密,尽管这么做成本可能很高(每台笔记本电脑为50至100美元),还会影响性能。网件公司的存储安全宣传官、存储网络行业协会存储安全行业论坛副主席Blair Semple表示,除了加密外,还需要加强这方面的意识。他说:“我见过人们能够加密但没有加密的情况。对信息进行加密很容易人,难就难在管理及部署方面。”
第三,Lazar建议实施政策,要求使用非常强的密码,以保护被偷设备上的数据。
#p#回顾:2007年11月,富达国民信息服务公司(Fidelity National Information Services)旗下子公司Certegy Check Services的一名高级数据库管理员利用权限访问,窃取了属于850余万个客户的记录。随后,他把这些资料以50万美元的价格卖给了一经纪人,该经纪人转手卖给了直接营销商。后来这名员工被判处四年以上徒刑,并处罚金320万美元。据公司工作人员声称,没有出现身份失窃,不过受到影响的客户们收到了当初购买这些资料的公司发来的推销广告。
在另一起重大案例中,杜邦公司一名工作了十年的资深科学家下载了价值高达4亿美元的商业机密,随后在2005年年底离开公司、转投杜邦在亚洲的一家竞争对手。据审判记录显示,他利用权限访问,下载了大约22000份文档摘要,并且浏览了大约16700个全文PDF文件。这些文档涉及杜邦的大多数主要产品线,包括一些新兴技术。这名科学家与那个竞争对手偷偷商谈时进行了下载活动,他在接受这份差事后下载了两个月。最后,他被判处在联邦监狱服刑18个月,缴纳罚金3万美元,还被判支付赔偿金14500美元。
代价:在杜邦案中,商业机密的价值估计超过了4亿美元,不过政府估计这家公司实际损失了大约18.05万美元。没有证据表明机密信息被转移到了共同作案的那个竞争对手。
据Semple声称,客户信息被窃带来的损失几乎总是超过知识产权被窃。以Certegy案为例,2008年达成了调解:为个人信息或财务信息被窃取的所有集体诉讼原告提供高达2万美元的赔偿,弥补身份失窃造成的某些未赔偿损失。
提醒:ITRC表示,2008年登记在案的泄密事件中近16%归因于公司内部人员。这比前一年的比例翻了一番。导致这种增长的一个原因就是,如今招聘员工的是与犯罪活动有瓜葛的外部人员——据卡内基·梅隆大学CERT协调中心声称,这个趋势可解释1996年至2007年所犯的内部人员犯罪的一半事件。
CERT表示,内部人员犯罪有两个原因:一是为了获取钱财(如Certegy案),另一个是为了获得商业优势(如杜邦案)。CERT表示,在后者当中,犯罪活动通常在违法员工辞职后就开始了。但窃取活动通常在他们离开公司后进行的,留下了一条秘密通道,以便访问所需数据。
Semple表示,内部人员窃取是最难对付的,特别是员工使用授权访问时更是如此。
教训:CERT表示,一条有效的防范措施就是,监控数据库和网络访问权限以查找异常活动,并设置阈值,表明不同用户的哪些使用是可以接受的。这样一来,如果负责某项任务的员工所做的事超出了正常的职责范围,就比较容易发现。比方说,杜邦之所以能发现非法活动,就是因为那名科学家使用电子数据库服务器过于频繁。
如果怀疑发生了泄密事件,CERT表示重要的是行动要迅速,以便尽量减小信息被进一步传播的可能性,并且让执法部门有机会开始调查案件。
Lazar表示,公司还应当实施基于角色的访问控制工具,以便严格控制谁在访问宝贵资产。含有客户或员工信息的数据库允许的访问权应当非常有限。他说:“每天有多少人需要未经许可、查看社会保障号和地址?个人信息受到的保护级别应与商业机密一样严密。”
Muller建议使用数据丢失预防工具,限制个人数据被电子邮件发送、打印或拷贝到笔记本电脑或外部存储设备上。要是有人试图拷贝个人数据,有些这类工具会发出警报以通知管理员,并且为这类事件建立日志文件。他说:“许多情况下,公司没有落实合理的跟踪记录系统。”
Semple表示,加强内部控制和审计措施也很重要,比方说反复检查网络和数据库活动日志。单单维持详细的日志还不够;你还需要落实审计措施,查看有没有人改动日志或非法访问日志。他说:“除非有一种方法可以核实日志信息没有被篡改,否则就很难知道日志的重要性。”
但到头来,光有技术还不够。Semple说:“你要找到一种办法来确保你所信任的用户确实值得信任。”
#p#
回顾:2007年1月,零售商The TJX Companies声称它的客户交易系统遭到了黑客攻击。2003年至2006年12月期间多次遭到了入侵,黑客访问了9400万个客户账户。后来发现,有人利用窃取的信息实施了案值800万美元的礼品卡欺诈案和伪造信用卡欺诈案。2008年夏天,11个人因与该事件有关的指控而被判有罪,这也是美国司法部有史以来提起公诉的最严重的黑客破坏和身份失窃案。
代价:TJX估计泄密带来的损失为2.56亿美元。这包括修复计算机系统以及为应对诉讼、调查、罚款及更多事项而支付的成本。这还包括因造成的损失而赔钱给维萨公司(4100万美元)和万士达卡公司(2400万美元)。联邦交易委员会下令:在接下来的20年里,TJX公司每隔一年就要接受独立的第三方安全审计。
然而,其他人预计损失会增加至10亿美元,这包括法律调解和客户流失所带来的损失。据波耐蒙研究所在2008年4月发布的一项调查显示,如果某家公司发生了数据泄密事件,它就会失去31%的客户数量和收入来源。波耐蒙研究所在最新发布的《数据泄密的成本》年度调查中还发现,去年,泄密事件让相关公司因泄密的每条客户记录而损失202美元;2007年的损失还只有每条197美元。与错失商机有关的成本是导致损失增加的最主要部分。2008年数据泄密事件的平均成本为660万美元,2007年为630万美元。
提醒:据波耐蒙研究所在2008年的一项调查显示,黑客引起的数据泄密在安全威胁方面远远排在了后面,仅列第五位。据ITRC声称,的确,2008年登记在案的泄密事件当中约14%与黑客破坏有关。不过,这并不意味着公司用不着小心翼翼。在TJX案中,黑客通过“无线搜寻”(war driving)手段潜入系统,从而闯入了该公司的无线网络。TJX当时用的加密技术达不到标准,又没有在使用无线网络的计算机上安装防火墙和数据加密软件。这样一来,窃贼得以把恶意软件安装在网络上,从而访问存储在系统上的旧的客户数据,并截获在用于核价的手持设备、收银机和店内计算机之间传输的数据。
教训:据Muller声称,TJX当初在其无线网络上使用的WEP加密不够安全——安全性比许多家庭用户使用的加密技术还差。他说:“如果你能从停车场访问数据库,表明需要更高的数据安全和数据加密级别。”Muller表示,TJX还存储了旧的客户信息,而没有永久删除。
#p#
回顾:辉瑞公司一名远程办公员工的配偶把未经授权的文件共享软件安装到了该员工的办公笔记本电脑上,外人因而可以访问含有辉瑞大约17000名新老员工的姓名、社会保障号、地址和奖金信息的文件。调查后发现,大约15700名员工的数据被对等网络上的别人所访问及拷贝;另外1250名员工可能泄露了数据。因为系统被用来从辉瑞的公司网络外面访问互联网,所幸其他数据没有受到危害。
代价:辉瑞签约订购了信用报告机构的一揽子“支持和保护”服务,包括为受到影响的那些人提供为期一年的免费信用监测服务,并提供每人价值25000美元的保单,以承担个人因这次泄密而造成的损失。
提醒:据波耐蒙研究所的一项近期调查显示,数据安全面临的第一大威胁是粗心大意的内部人员,而不是居心叵测的内部人员。接受调查的IT专业人士表示,88%的泄密事件与粗心大意的内部人员有关。Muller说:“要是员工有比较强的安全意识,泄密事件数量就会大大减少。”在辉瑞案中,那名员工的配偶对文件共享软件作了配置,结果文件共享网络上的其他用户就能访问这个配偶存储在笔记本电脑上的文件,但是别人也可以访问辉瑞的文件。
粗心大意的用户加上文件共享软件带来的危害更大。据达特茅斯学院的一项调查显示,虽然大多数公司禁止在公司网络上使用P2P文件共享,许多员工把共享软件安装在远程和家用个人电脑上。比方说,调查发现30家美国银行的员工在共享对等系统上的音乐及其他文件,无意中把银行账户数据泄露给了对等网络上的潜在犯罪分子。一旦商业数据被泄露,就会传播到世界各地的众多计算机。
教训:首先,IT人员需要完全禁止使用P2P软件,或者制定P2P使用政策,并且实施执行这些政策的工具。Muller说:“辉瑞本该更全面地审查系统,以便阻止员工安装任何软件。你可以取消员工的管理员权限,那样他们安装不了任何软件。”他表示,培训也很重要,那样用户明白P2P有哪些危害、怎样才是良好的密码及其他标准安全做法。
Semple强调:“极其需要教育,那样员工就会明白我们不是存在为难他们,而是阻止危害发生。那样他们就会明白‘这是我不能这么做的原因。’”
#p#
回顾:2008年11月,亚利桑那经济安全部不得不通知大约4万个孩子的家庭:因为几只硬盘被人从存储服务商处偷走,他们的个人数据可能被泄密了。虽然硬盘受到了密码保护,但没有经过加密。该部门表示,没有任何信息被用来实施欺骗。
代价:据波耐蒙研究所声称,分包商泄密造成的损失比内部事件还要惨重,每条记录损失分别是231美元和171美元。
提醒:据波耐蒙研究所的年度调查显示,外包商、承包商、顾问和商业合作伙伴导致的泄密事件在不断增加,占到去年调查对象上报的所有案例的44%,而2007年为40%。在ITRC的调查中,2008年10%的泄密事件与分包商有关。
教训:公司需要与分包商签订条文严密而具体的服务级别协议,然后确保分包商遵守协议;如果没有遵守,就要给予惩罚。Semple表示,遇到使用备份磁带或磁盘的情况,就要坚持采用加密和密码保护。
【编辑推荐】