伦敦,2008年12月11日凌晨5:30,黑莓手机的振动声打破了清晨的宁静。没有任何一个CIO愿意在这个时候听到这个声音,因为这意味着坏消息的来临。
首席安全官(CSO)为打扰道歉,但可以明显看出她的激动和不安。她刚刚被招来做数据审计的安全顾问吵醒。小组成员昨天晚上加班,在主要的客户数据库中发现了一些异常的数据。当她结结巴巴地说“这可能没什么”的时候,首席安全官也不能掩饰她的恐慌。但是你们双方都知道,如果她真的是这么想,你们现在也不会这么谈话。
自从HM税收和海关(HMRC)发生安全漏洞至今,许多公司都没能从这些事情中吸取经验教训。在HMRC事件后,信息委员会(ICO)已经通过公开、私密和第三组织公布了将近100个数据漏洞。法律公司BrowneJacobsen的CIOPeterBirley在他的私人CIO博客上说:“数据是许多公司的血液,但却常常没有受到很好的关注。”
虽然公司声称这仅仅影响了一小部分客户,无论真实的数据是怎样的,BestWestern已经承受了损害其品牌的后果。如果其他的公司对安全数据不采取必需的预防性措施,并且对数据泄露的后果不正确处理,那么,他们也会面临一样的恶果。
不要恐慌。“事实证明,一个专业积极的方法比起躲在一个小角落里逃避更能保护你。”财经服务专家社BDOStoyHayward技术咨询机构的主管PeterChada这样说道。
黄金第一小时
专家说,在安全数据泄露发生后的黄金第一小时内做影响及结果的评估至关重要。例如,需要推断出谁会对这些数据感兴趣,在个体和其他方面会带来哪些影响。比如说,在最近监狱服务的突发事件中,如果数据落到了罪犯的手中,那么监狱官员家人的安全就可能面临危险。
GeoffDonson之前是高科技犯罪部的侦探,现在是TelecityGroup数据中心的安全经理,他问道:“你在发现了数据泄露之后的黄金时间会怎么做呢?”
“对我而言,我会明确地想知道是什么数据,因为你会想知道这已经带来了什么间接的损失。如果找回这些数据会有帮助么?大概不会,但当数据的性质决定了谁会对其感兴趣的时候,这也有可能。你会想知道有哪些私人数据包括在内,会不会是姓名、地址、详细的银行账户信息等。”
在第一小时如何作出反应很大程度上取决于你的准备和计划。优秀的公司会早已想到在这种情景下确切地会发生什么,并会提出临时费用,立即做出无差错反应。
“成功管理任何突发事件的关键在于通过已有的和测试的计划确保你始终对任何可能发生的事件做好准备。测试检验的价值实在是太大了。我们劝告公共部门和机密部门的客户:经验在于通过测试,去明显提高计划的质量。”信息安全专家活动组的顾问负责人NeilO'Connor说,“你不会想去在真正的危机发生的第一时间去测试计划。”
最初的12小时
如果你可以确定真正丢失的数据是什么,那么泄露的结果就取决于你的公司是否维护了一个详细精确的数据规划,接下来需要找出谁有可能访问过这些数据,是外部的还是内部的,他们会对这些数据信息作些什么。
“一些与计算机相关的法律问题可能会出现。你当然可以观看日志。”Donson说,“从任何微软Windows操作系统的日志都可以看出谁是最后一个访问这个数据的人。你可以看到此数据是否已被复制,当然也能看出是否已被打印。”
作为IT服务公司Logica的安全管理顾问,DaveMartin认为考虑到最坏的情形并对反应作出相应调整也是很重要的。他说:“在开始调查一个突发事件时,我们必须总是假设最坏的结果,我们可能不得不在法庭上为我们的行为辩护。”
倘若你的公司不仅想为数据泄露起诉,并且可能潜在地面临自身被诉讼风险,那么保存好任何可能的证据都非常重要。“随着一个突发事件严重性的快速升级,公司必须靠‘冷冻体系’来保证证据被保留。保存证据则必须由训练有素的计算机法庭服务人员通过非常特别的设备来处理。”Martin建议。
为了保证数据可以被用于法庭分析并最终被法庭采纳,保证任何计算机和媒介的物理安全,确保“证据的连贯性”至关重要,他解释道,最早采取的方法是物理锁上所有的服务器、计算机或者其他的可能与数据泄露有关的硬件。
除了以上的方法,遏制安全漏洞的新闻的扩散也很重要。Martin说:“只需要将这项调查通知一个或两个人,否则你可能会向一个罪人泄露秘密,那么他可能去毁坏这些证据。”
接下来的24小时
确定了泄露数据,接下来面临的问题就是“这会对公司会带来什么影响,以及谁有可能对此负责,是否需要报告此次事件。”要不要报告源于好几个因素,并不只是取决于什么样的数据泄露。
“在有保密部门的公司,报告的事宜始终是一个问题,因为此事会使客户和股东之间的信任关系会丢掉。另一方面,你有义务去关注它,如果你弄丢了你所持有的一份个人数据,你必须非常迅速地公开它。”TelecityGroup的Donson这样说。他在许多部门,如国家高科技犯罪部、国家犯罪组和计算机犯罪部工作了27年时间,另外在威斯敏斯特大学还教授计算机法学和信息安全。
Donson说在他的经验看来,许多不包括私人数据的数据泄露并没有被报告。他说:“我想有许多数据不是私人的,但也没有去报告。”
然而,法律执行中介显然迫切希望公司报告任何类型的数据泄露——不管是不是受到保护的数据——因为它对数据信息收集流程有极大帮助,Donson这样认为。而且把漏洞报告给警察也不等于它就公开化了。“我们已经签署了反泄露协议,所以我们这样对人们说:‘报告给我们吧,即便你不想采取任何行动。’”Donson说,“如果公司不希望我们采取任何行动,我们是不会行动的。”
City法律公司SpeechlyBirchamLLP的高级财产、技术和商业运营的总管RobertBond说:“这种法律的缺失并不是忽略适时的犯罪管理实践的理由。保险行业的领军人物如Hiscox和AIG都坚持认为,如果商业需要保险,数据丢失政策和程序就是强制性的。”
一个星期之后
在最初的灭火工作结束以后,注意力会不可避免地转向“什么出问题了”。
并不仅仅是疏忽,许多近期的数据泄露事件都源于对员工培训的基本缺失——回顾HMRC事件得出的结论之一。“我们一次又一次地发现员工无能力处理机密文件。这说明不是技术而是人的原因产生了错误。”Firebrand培训的安全总管RichardMillett说道。
除了培训,公司需要思考保证IT安全的其他基本方法,并考虑发展防边缘化。例如Jericho论坛这样的CSO团体所支持的方法基于这样的考虑:不是试图把公司的IT资产都保护起来,而是关注保护最重要的元素。
“防边缘化策略能让我们朝着业务运转的方向适应安全机制,而不是扔出许多条条框框。”渣打银行的信息安全总管兼Jericho论坛成员JohnMeakin说。
然而,所有的专家都一致认为,最好的方法首先是让系统能够防止数据泄露或被窃取。