作为人事管理办公室主任,Katherine Archuleta成为最新一轮数据泄露事故的受害者——但她绝不是惟一一位被犯罪分子所攻击的管理人员。时至今日,我们甚至可以说,安全从业人员的自身岗位几乎毫无安全性可言。
人事管理办公室前主任Katherine Archuleta在2014年美国农业部的一次会议上发言。
作为安身立命之本,很多人选择将数据安全保护作为毕生事业。但结果如何?
虽然不像CEO、CIO或者CTO那样责任重大且工作繁忙,但这些高管本身并不需要直接负责IT安全事务。绝大多数管理者甚至干脆对安全一无所知。
不过在当下这个网络世界当中,IT安全已经成为企业获得业务成功的必要基础,而一旦出现问题、责任也将由企业中的各个层级共同承担。有鉴于此,组织内的领导者们可能更倾向于着眼大局,而不愿涉足安全这块职责重但却地位低的“贫瘠之地”。
作为人事管理办公室主任,Katherine Archuleta成为最新一轮数据泄露事故的受害者——但她绝不是惟一一位被犯罪分子所攻击的管理人员。她在上周五辞职之后透露称,黑客共窃取了政府背景调查所收集到的2150万民众的个人信息。她所在的机构此前还曾经指出,超过420万名联邦政府工作人员的个人信息亦遭到窃取。
在2015年5月进行的一次面向350家企业的调查当中,IBM与Ponemon Institute发现数据泄露事故所造成的平均损失已经由去年的352万美元增长到如今的379万美元。每条包含敏感数据的记录在丢失或遭到窃取时所造成的损失亦由去年的145美元增加至154美元。以上数字为全球水平。而着眼于美国本土,每条敏感数据记录带来的泄露损失更是高达217美元。
通过这一标准进行计算,此次人力管理办公室所丢失的2570万条记录很可能造成高达56亿美元的巨额损失。这一数字还很可能有相当一部分被纳入2016财年总值140亿美元的网络安全预算当中。毕竟人力管理办公室所泄露的数据很可能给美国国家安全造成长期而严重的负面影响。
单纯的经济损失数字还不足以帮助我们了解受害者对于数据泄露事故的焦虑,我们也很难从中看到哪些个人或者从业者应该为如此庞大的损失负起责任。
数据泄露事故的受害者们则往往非常无辜,因为欺诈乃至身份窃取活动往往是由于其他人的失误、无知或者失职所造成。但与此同时,我们又难免要对那些使用着存在固有安全缺陷的系统方案及相关员工的管理者产生同情之心。而之所以一部分人能够在工作当中取得成功,完全是因为大部分同行的水平太过低下——但在安全领域,还恰恰有很多人仍在秉持着这样得过且过的侥幸心理。
如果大家认真查阅过曾经遭受过黑客攻击的企业名单,就会发现即使是技术实力最强的组织也承受不住资金充实的恶意人士的轮番轰炸。2014年,美国联邦调查局局长James Comey曾经明确指出:“目前美国国内只有两种大型企业。一种已经受到了来自中国的网络攻击,另一种则还没意识到自身已经受到了来自中国的网络攻击。”
很明显,黑客绝不仅仅来自中国,在世界诸国内也所在多有。
考虑到IT系统当中存在的安全隐患,各位CEO、CIO或者CTO最好提前写好辞呈,在里面就人人谈而色变的“无法预见”的数据泄露问题做一番反省。这倒不是提倡大家坐以待毙,而是希望通过这种方式强调优先考量安全议题的必要性与迫切性。
如果我们运气好点、工作努力点,也许这封辞呈永远也派不上用场。不过事实证明,很多高管人士都没能逃过这一劫数。在今天的文章中,我们将共同见证多位由于安全问题而断送了前程的企业管理者。也许大家能够从中总结出教训,但也许我们都不过是在这种恐怖的阴影中挣扎求存。#p#
离开Target
2014年5月,Target公司CEO Gregg Steinhafel由于上年出现的大规模数据泄露事故而被迫辞职。这次事故影响到了该公司的1100万名客户。他在写给董事会的信中提到,该公司一直致力于改进数据安全水平。
而就在两个月之前,Target公司的CIO Beth Jacob也由于这一安全事故而最终离去。
“采访”引出祸事
今年2月,索尼影业掌门人Amy Pascal辞职。追究原因,一个自称“和平守护者”的组织对索尼影业展开了网络攻击。该组织发布了Pascal与其他影业高管之间的保密往来邮件,其中的内容令人颇为尴尬。根据报道,该组织的攻击原因是《采访》这部电影的存在——这部喜剧片狠狠对朝鲜领导人金正恩作出了一番戏谑。
江南Style
2014年1月,韩国金融企业KB金融公司的27位高管一同辞职。根据《华尔街日报》的报道,KB金融公司及其下辖机构所发出的总计1040万张信用卡信息遭到窃取,而始作俑者为KB协作方韩国信用局的一位工程师。
密码错误
犹他州技术服务部执行主管Stephen Fletcher于2012年5月辞职,原因是此前的一场UDOTS服务器安全事故导致该州医疗系统中的大量个人信息外泄。此次事故共致使约28万名民众的社保号码被盗,另有约50万民众的其它个人信息流出。最后这场事故被证实是由“服务器上的一次密码验证层错误所引发”。
太过开放,开门揖盗
南卡罗来纳州税务局局长Jim Etter于2012年年底引咎辞职,在此之前一场数据泄露事故令360多万社保号码意外流出。安全企业Mandiant公司的一位审计人员发现,这些社保数据并未配备适当的安全协议及必要的加密措施。#p#
泄露?泄露什么了?
在2010年发生数据泄露并在2012年年底被公众所知晓之后,俄亥俄州立大学CIO Kathy Starkoff因这一导致76万人个人信息外泄的事故而辞职。根据俄亥俄州立大学官方网站上的一条公开记录来看,此次事故早在2010年10月22日就已经被发现,但直到近两个月之后的2010年12月5日之前,Starkoff的往来邮件当中从未出现过“泄露”字样——此獠确是装傻充愣的一把好手。
美国在线卷入风波
早在2006年,就在数据泄露事故尚未真正全面袭来之时,美国在线就曾经故意发布了作为研究使用的65万位服务订阅者的共2000万条搜索记录。在《纽约时报》宣称能够对这些看似匿名的数据进行搜索者身份分析后,美国在线才决定将其收回。在经历了法律诉讼之后,美国在线CTO Maureen Govern决定辞职,而研究员及上级主管当中的相关责任人亦被公司开除。
光盘与数据
2007年,英国税务海关总署主席Paul Gray决定辞职。究其原因,此前曾有一片记录着2500万名个人及700万个家庭的未加密儿童福利信息的CD不慎丢失。
别随便嘲笑黑客
技术安全企业HBGary Federal公司CEO Aaron Barr可以算是“不作死就不会死”的典型代表。2011年,该公司的官方网站遭到黑客攻击,约有71000封内部邮件遭到外泄。其实这一切本来有可能得以避免,但他此前放出豪言,称将把Anonymous黑客组织的首脑名单公诸于众——这绝对是教科书级的玩火自焚行为。
八达通的悲惨过往
香港智能卡支付企业八达通股份公司CEO陈碧铧于2010年辞职。据称,该公司此前曾将客户的私人数据出售给业务伙伴,而这种行为自然会受到隐私政策的严历制裁。
不了了之
尽管2014年的大规模泄露事故导致5600万条信用卡信息流出,但Home Depot公司的高管团队似乎并未因此受到任何谴责。该公司当时并没有立即就是否有高管人士为此负责而作出回应,因此我们也不清楚领导层是否有人被追究了责任。不过当初在管理层决定漠视警告提醒时,该公司安全团队的部分员工选择了离职。
严重渎职
2006年5月,一台保存在2650万名退伍军人信息的笔记本电脑在弗吉尼亚州被人偷走,这直接导致时任退伍军人事务部部长副助理的Michael H. McLendon辞职。在盗窃事件发生之前,CIO Robert McFarland已经因为该机构迟缓的安全保障进展而决定辞职。而在盗窃事件之后,退伍军人事务部首席信息安全官兼代理CIO Pedro Cadenas, Jr.亦离开了该部门——不过他的离去并非自愿,这位分析师当时把该笔记本带回了家中并最终导致被盗,他也因此遭到解雇。
力有不逮
2011年,美国计算机紧急响应小组(简称US-CERT,负责保护美国政府的网络体系)主任Randy Vickers决定辞职。官方并未给出具体理由,但在Vicker离开之前,美国政府的网站曾经遭受过一系列黑客攻击。
通天大祸
除了数据泄露,物理层面的安全问题同样可能让管理人员断送前程。美国特勤局局长Julia Pierson就在白宫出现一系列安全问题之后黯然离职。而在2007年,洛斯阿拉莫斯国家实验室出现的安全问题也让时任国家核安全局局长的Linton Brooks乌纱落地。
英文:14 Security Fails That Cost Executives Their Jobs