糟糕的业务流程会向公司外部人员敞开大门、引诱内部人员,或者干脆助纣为虐、帮助黑客或不怀好意的内部人员为非作歹。
现状恐怕就是这样。媒体几乎每周都会报道某组织发生重大数据泄漏事件的新闻。家得宝(Home Depot)、零售商TJX、退伍军人管理局(VA)、辉瑞制药公司(Pfizer)、Monster.com和美国在线(AOL)等公司都遇到了糟糕的公关和法律问题,而这些问题都是伴随数据丢失而来的。
一个相关问题就是知识产权(IP)失窃。公司内部人员轻而易举就能访问、复制及移动敏感数据,这让IT安全人员坐立不安。内部人员出售窃取的知识产权,利用知识产权自己开公司,或者以此向竞争对手谋求职位,这样的事情更是举不胜举。
举例来说:内部人员轻而易举就能窃取知识产权,这让NeoGenesis制药公司的主管们大为震惊,于是他们着手创建一家安全公司:Verdasys来解决这个问题。公司内部的一名人员企图窃取药方来开办一家新公司;让公司主管们有所注意的不是任何IT安全警报,而是一份可疑的光盘采购单。
这种情况并非不同寻常。不同寻常的是,NeoGenesis公司发现并且阻止了窃取行为。一项又一项的调查表明内部人员发动的攻击呈上升趋势。据美国商务部声称,知识产权失窃导致美国公司每年损失大约2500亿美元,同时使美国经济减少了近75万份岗位。
看似无害,实则灾难
导致数据泄漏和知识产权失窃的原因有好多:有的是验证机制不够完备、数据保存不当,有的是笔记本电脑丢失;但通常存在一个根本的问题是,业务流程存在缺陷。糟糕的业务流程会向公司外部人员敞开大门、引诱内部人员,或者干脆助纣为虐、帮助黑客或不怀好意的内部人员为非作歹。
“业务流程”是一个非常模糊的概念;不过说到确认存在缺陷的业务流程,你该如何开始入手呢?第一件事就是明白本公司存在哪些看似无害的业务流程。
Steve Roop是数据泄漏预防(DLP)厂商Vontu公司负责产品营销及开发的副总裁,他发现许多小错误让许多公司面临巨大风险。他说:“有些错误可笑、愚蠢,而有些却是恶意为之的;不过就连可笑愚蠢的错误也有可能极其危险。”
Vontu提到了许多糟糕的业务流程。举例说,他们为之提供服务的一家大公司每周平均要招聘400名员工。这些新员工每个人都需要名片。可问题在于,多年来,人力资源部门一直把电子表格副本送到印刷公司,而这些表格上面记录有着员工的社会保障号码、出生日期及其他信息;这样一来,它们就有可能遭到身份失窃。
数据泄漏预防厂商Verdasys公司的营销副总裁William Munroe说:“如果公司想大幅降低信息丢失的风险,它们就要对数据安全采取注重风险的方法。”
注重风险的安全方法其核心就是,重新考虑最基本的21世纪的业务流程:数据是创建如何、保存、修改及移动的。实际上,进入到桌面系统及其他端点上的任何数据都面临危险。大多数应用服务器和数据库都得到了相当有效的保护;但极少有任何安全规则负责管理桌面系统上的数据如何操纵、复制及保存。
一旦数据迁移到了桌面系统上,就可以刻录到光盘上、拷贝到USB驱动器上或者MP3播放器上,还可以用电子邮件发给任何地方的任何人。许多公司已经认识到了一种风险:电子邮件;但即便是在这方面,安全机制仍然更多地针对的是外部风险(垃圾邮件和网络钓鱼等骗局),而不是内部风险。
要是你保存数据的范围从桌面系统扩大到其他端点,这个问题就更严重了。不妨想想销售点(POS)终端。众所周知、代价惨重的TJX数据泄漏事件就是从POS终端开始泄漏数据的,而这些终端原本是不该保存数据的。
按照支付卡行业数据安全标准(该标准规定了商家如何处理信用卡数据)的要求,磁条上的个人信息不能收集及保存。遗憾的是,这项明智合理的隐私/安全流程却常常与营销及销售流程相冲突,后者促使许多公司不择手段地收集消费者信息。
就拿TJX来说吧,不该收集的信息结果被收集了;而且采取了保护不力的方式来保存。
研究机构阿伯丁集团的安全技术部门调研主任Carol Baroudi说:“每个人都需要大大增强数据的安全意识。公司至少要问一下:数据保存在何处?谁可以访问数据?数据得到了怎样的保护?”
