虽然企业尽其全力确保了自身网络安全,但在电子商务和网上银行的时代,这些还远远不够。IT管理人员应该要问:与我们业务往来的合作伙伴的安全保护工作是否到位?
虽然企业尽其全力确保了自身网络安全,但在电子商务和网上银行的时代,这些还远远不够。IT管理人员应该要问:与我们业务往来的合作伙伴的安全保护工作是否到位?
答案可能是否定的,因为客户和业务合作伙伴并没有实现安全数据共享,例如使用加密来保护敏感信息。当他们的计算机被攻击者攻击或者他们的员工以不合法规的方式发送敏感数据时,这自然也会成为你们公司的问题。
在医疗保健行业,与个人医疗信息和个人身份信息有关的数据必须通过加密后才能发送给业务合作伙伴,Lutheran Life Communities(医疗保健供应商,1600名员工,为老年人提供医疗保健、家庭护理等服务)的信息技术主管Richard DeRoche表示。
该医疗保健供应商安装了数据丢失防护设备来确保个人医疗信息和个人身份信息数据传输安全进行,但是令人惊讶的是,最终是业务合作伙伴的问题导致数据泄漏。
“85%到90%的数据泄漏是入站的,”DeRoche指出,虽然Lutheran Life的员工遵守加密敏感数据的规则,但是该供应商的合作伙伴确实犯下最大错误的一方,真是防不胜防。
这引起了Lutheran Life法律部的辩论,关于公司是否应该接受看似违反了HIPAA以及HITECH法案的电子邮件,这些法案都会对违规者进行罚款。
DeRoche表示,公司已经决定开始向违反其安全和隐私政策的电子邮件发送者发送警告信息,信息中称本公司无法接受这种形式的信息。他指出,有必要建立更多的业务伙伴协议,以防止类似问题再次发生。
像许多公司一样,Lutheran Life Communities发现很难让业务伙伴使用加密技术,建立的微软SharePoint作为业务伙伴共享机密信息的外部端口,这个系统是使用密码和加密的系统,但是对最终用户却不实用。
银行业也是同样的情况,其他人犯的错误可能带来不必要的麻烦。
网络罪犯很擅长欺骗零售业和企业网上银行客户,有时候他们会精心设计骗局来引诱受害者电机假冒钓鱼网站来窃取账户信息或者使用木马软件劫持个人电脑来通过自动清算系统服务进行欺诈交易。
罪犯可以远程通过受害者的电脑发起大金额支付,而这些未经授权的付款最终由钱螺帮助他们兑现(钱骡指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人,款物接收国通常是诈骗份子的居住地)。当企业银行客户发现这种情况发生时,他们不得不请银行帮忙,而根据法律,企业客户对于网上银行操作并没有相同的欺诈保护。
一些银行正在尝试更有效的办法来制止这种类型的攻击对他们的客户和银行体系的损害。
例如,美国费尔菲尔德县银行决定,为了阻止攻击行为,他们要求其企业自动清算系统银行客户(约80家公司,几百名终端用户)使用特定的安全保护来保护ACH支付。
该银行的所有客户都会获得一个IronKey Trusted Access作为网上银行令牌,这是一个安全的USB令牌,可以通过IronKey云服务来管理。这种令牌保护能够通过创建一个独立于用户操作系统的受控制的在线工作环境防止键盘记录和基于浏览器的攻击以及恶意软件。
“这将是必需的,” 该银行助理副总裁、现金管理办公室和电子银行业务Christina Bodine表示。
她表示,这种强制性安全设备将有助于保护客户和区分银行的服务。像其他银行一样,该银行建议客户使用专门的电脑进行资金转账。
网友评论