189
汽車大全
數據泄漏後CIO應急工作指南
倫敦,2008年12月11日淩晨5:30,黑莓手機的振動聲打破了清晨的寧靜。沒有任何一個CIO願意在這個時候聽到這個聲音,因為這意味著壞消息的來臨。
首席安全官(CSO)為打擾道歉,但可以明顯看出她的激動和不安。她剛剛被招來做數據審計的安全顧問吵醒。小組成員昨天晚上加班,在主要的客戶數據庫中發現了一些異常的數據。當她結結巴巴地說“這可能沒什麼”的時候,首席安全官也不能掩飾她的恐慌。但是你們雙方都知道,如果她真的是這麼想,你們現在也不會這麼談話。
自從HM稅收和海關(HMRC)發生安全漏洞至今,許多公司都沒能從這些事情中吸取經驗教訓。在HMRC事件後,信息委員會(ICO)已經通過公開、私密和第三組織公布了將近100個數據漏洞。法律公司BrowneJacobsen的CIOPeterBirley在他的私人CIO博客上說:“數據是許多公司的血液,但卻常常沒有受到很好的關注。”
雖然公司聲稱這僅僅影響了一小部分客戶,無論真實的數據是怎樣的,BestWestern已經承受了損害其品牌的後果。如果其他的公司對安全數據不采取必需的預防性措施,並且對數據泄露的後果不正確處理,那麼,他們也會麵臨一樣的惡果。
不要恐慌。“事實證明,一個專業積極的方法比起躲在一個小角落裏逃避更能保護你。”財經服務專家社BDOStoyHayward技術谘詢機構的主管PeterChada這樣說道。
黃金第一小時
專家說,在安全數據泄露發生後的黃金第一小時內做影響及結果的評估至關重要。例如,需要推斷出誰會對這些數據感興趣,在個體和其他方麵會帶來哪些影響。比如說,在最近監獄服務的突發事件中,如果數據落到了罪犯的手中,那麼監獄官員家人的安全就可能麵臨危險。
GeoffDonson之前是高科技犯罪部的偵探,現在是TelecityGroup數據中心的安全經理,他問道:“你在發現了數據泄露之後的黃金時間會怎麼做呢?”
“對我而言,我會明確地想知道是什麼數據,因為你會想知道這已經帶來了什麼間接的損失。如果找回這些數據會有幫助麼?大概不會,但當數據的性質決定了誰會對其感興趣的時候,這也有可能。你會想知道有哪些私人數據包括在內,會不會是姓名、地址、詳細的銀行賬戶信息等。”
在第一小時如何作出反應很大程度上取決於你的準備和計劃。優秀的公司會早已想到在這種情景下確切地會發生什麼,並會提出臨時費用,立即做出無差錯反應。
“成功管理任何突發事件的關鍵在於通過已有的和測試的計劃確保你始終對任何可能發生的事件做好準備。測試檢驗的價值實在是太大了。我們勸告公共部門和機密部門的客戶:經驗在於通過測試,去明顯提高計劃的質量。”信息安全專家活動組的顧問負責人NeilO'Connor說,“你不會想去在真正的危機發生的第一時間去測試計劃。”
最初的12小時
如果你可以確定真正丟失的數據是什麼,那麼泄露的結果就取決於你的公司是否維護了一個詳細精確的數據規劃,接下來需要找出誰有可能訪問過這些數據,是外部的還是內部的,他們會對這些數據信息作些什麼。
“一些與計算機相關的法律問題可能會出現。你當然可以觀看日誌。”Donson說,“從任何微軟Windows操作係統的日誌都可以看出誰是最後一個訪問這個數據的人。你可以看到此數據是否已被複製,當然也能看出是否已被打印。”
作為IT服務公司Logica的安全管理顧問,DaveMartin認為考慮到最壞的情形並對反應作出相應調整也是很重要的。他說:“在開始調查一個突發事件時,我們必須總是假設最壞的結果,我們可能不得不在法庭上為我們的行為辯護。”
倘若你的公司不僅想為數據泄露起訴,並且可能潛在地麵臨自身被訴訟風險,那麼保存好任何可能的證據都非常重要。“隨著一個突發事件嚴重性的快速升級,公司必須靠‘冷凍體係’來保證證據被保留。保存證據則必須由訓練有素的計算機法庭服務人員通過非常特別的設備來處理。”Martin建議。
為了保證數據可以被用於法庭分析並最終被法庭采納,保證任何計算機和媒介的物理安全,確保“證據的連貫性”至關重要,他解釋道,最早采取的方法是物理鎖上所有的服務器、計算機或者其他的可能與數據泄露有關的硬件。
除了以上的方法,遏製安全漏洞的新聞的擴散也很重要。Martin說:“隻需要將這項調查通知一個或兩個人,否則你可能會向一個罪人泄露秘密,那麼他可能去毀壞這些證據。”
接下來的24小時
確定了泄露數據,接下來麵臨的問題就是“這會對公司會帶來什麼影響,以及誰有可能對此負責,是否需要報告此次事件。”要不要報告源於好幾個因素,並不隻是取決於什麼樣的數據泄露。
“在有保密部門的公司,報告的事宜始終是一個問題,因為此事會使客戶和股東之間的信任關係會丟掉。另一方麵,你有義務去關注它,如果你弄丟了你所持有的一份個人數據,你必須非常迅速地公開它。”TelecityGroup的Donson這樣說。他在許多部門,如國家高科技犯罪部、國家犯罪組和計算機犯罪部工作了27年時間,另外在威斯敏斯特大學還教授計算機法學和信息安全。
Donson說在他的經驗看來,許多不包括私人數據的數據泄露並沒有被報告。他說:“我想有許多數據不是私人的,但也沒有去報告。”
然而,法律執行中介顯然迫切希望公司報告任何類型的數據泄露——不管是不是受到保護的數據——因為它對數據信息收集流程有極大幫助,Donson這樣認為。而且把漏洞報告給警察也不等於它就公開化了。“我們已經簽署了反泄露協議,所以我們這樣對人們說:‘報告給我們吧,即便你不想采取任何行動。’”Donson說,“如果公司不希望我們采取任何行動,我們是不會行動的。”
City法律公司SpeechlyBirchamLLP的高級財產、技術和商業運營的總管RobertBond說:“這種法律的缺失並不是忽略適時的犯罪管理實踐的理由。保險行業的領軍人物如Hiscox和AIG都堅持認為,如果商業需要保險,數據丟失政策和程序就是強製性的。”
一個星期之後
在最初的滅火工作結束以後,注意力會不可避免地轉向“什麼出問題了”。
並不僅僅是疏忽,許多近期的數據泄露事件都源於對員工培訓的基本缺失——回顧HMRC事件得出的結論之一。“我們一次又一次地發現員工無能力處理機密文件。這說明不是技術而是人的原因產生了錯誤。”Firebrand培訓的安全總管RichardMillett說道。
除了培訓,公司需要思考保證IT安全的其他基本方法,並考慮發展防邊緣化。例如Jericho論壇這樣的CSO團體所支持的方法基於這樣的考慮:不是試圖把公司的IT資產都保護起來,而是關注保護最重要的元素。
“防邊緣化策略能讓我們朝著業務運轉的方向適應安全機製,而不是扔出許多條條框框。”渣打銀行的信息安全總管兼Jericho論壇成員JohnMeakin說。
然而,所有的專家都一致認為,最好的方法首先是讓係統能夠防止數據泄露或被竊取。
最後更新:2017-04-02 15:15:05