数据泄露从来不是什么好事儿,但即便有最佳防御操作,该发生的还是会发生。一旦泄露事件发生,我们需要考虑的是该如何恰当处理。
8月24日上午,T-Mobile给用户发了一封短信:“T-Mobile MSG:您好,我们识别并阻止了对您信息的未授权捕获。没有财务信息、身份证号被盗走,但一些个人信息或许有所泄露。”并在短信中附了一个通往T-Mobile安全声明的链接
(https://www.t-mobile.com/customers/6305378821),声明中所说内容与短信基本相同。
遭受数据泄露固然不是什么好事儿,但越深入分析整个事件,就难免会越感谢T-Mobile发出的这条警告。原因正在于,T-Mobile干了件似乎永远不会发生的事。简言之,T-Mobile发现了入侵,阻止了数据泄露,然后立即通知了客户。
T-Mobile至今对如何抓获该黑客的情况守口如瓶,但很明显,该公司有一套很有效的入侵检测机制。而且,这家公司也有能力在发现入侵者后将之踢出公司系统,这一点不是每家公司都能做到的。
T-Mobile发言人表示已没有进一步的威胁,但未就黑客身份做进一步的解释,也没有详细描述该公司是怎么响应这次数据泄露的。
致电T-Mobile客服热线打听数据泄露详细情况的结果是,该公司几乎即时修复了相关安全问题,客户只有姓名和邮编被盗走了。
收到T-Mobile通告泄露事件的短信后,一大堆警告有关严重后果的邮件几乎淹没了用户邮箱。这些邮件来自自称能缓解该数据泄露,保护客户数据,或者推销客户根本不需要的一些付费服务的公司。
但因为泄露的破坏性很小,被盗信息也基本上是公开的,所以受影响客户基本没什么安全风险。
数据泄露值得汲取的两个经验教训:
(1) 所谓的帮助,尤其是那些数据泄露声明放出后不久发来的,基本上没什么用。
用户邮箱中收到的各式各样帮助邮件,通常来自于除了高价通用建议以外并没有什么有用措施可以提供的公司。
(2) 数据泄露并非全都影响甚广,也有没人遭受侵害,且各方都负责任地加以处理的情况。
T-Mobile案例中,母公司德国电信位于欧洲,所以要遵守GDPR有关数据泄露的要求。
虽然欧洲半数国家及联邦政府都有及时向公众或股东报告数据泄露的要求,GDPR是严格规定了数据泄露事件必须在72小时内报告当局,T-Mobile遵守了该要求。
GDPR还要求数据泄露的主体,本案例中也就是客户,要接到“没有不当延迟”的通知。T-Mobile通过向每一位受影响人士发送短信通知做到了这一点。
虽然T-Mobile美国是否受GDPR管辖尚未明确,其母公司肯定是要遵从GDPR的,而T-Mobile美国公司显然遵守了那些规则。该公司还宣称已经修复了导致泄露的问题。
该案例明显昭示出欧盟GDPR规则影响到美国移动服务提供商时会发生的情况:公司执行了自己本应遵守的合规操作。
还有一点:T-Mobile表现出了在规定时间内检测数据泄露、修复漏洞并通知受影响客户的能力。GDPR在今年5月25日生效后,公司企业冒出的难以遵从快速响应要求的抱怨,相比之下,显得毫无道理。
如何规划处理不可避免的安全事件呢?
- 可靠的安全监视显然应该纳入计划之中,入侵检测系统也应作为安全组合拳中的一环。另外,还需具备事件发生时的客户通告计划,包括公司做了什么,以及公司打算怎么预防类似事件。
- 最好的规划起点,就是假设公司边界会被(可能已经被)突破。问问自己,进入公司内部的攻击者能找到什么?会怎么找到这些东西?如果客户记录之类的东西能被入侵者在突破防线后轻易找到,那你要么换个地方放,要么至少通过散列或加密的方法让这些数据不那么直白可读。
- 问问自己,攻击者会怎么将数据从你的网络中运出去?你有办法检测未授权系统的大文件传输吗?黑客常会将数据隐藏在内部网络的某个地方,直到找到机会渗漏出去。只要知道该到什么地方查找,你就能阻止数据渗漏。
- 最重要的是,要知道你可以阻止数据泄露,不用理会那些解释自己为什么无法阻止的借口。借口不能防止泄露,但一些主动作为,结合上恰当的计划,可以阻止数据泄露伤害公司的信誉和盈利。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】