第一页
伦敦,2008年12月11日凌晨5:30,黑莓手机的振动声打破了清晨的宁静。没有任何一个CIO愿意在这个时候听到这个声音,因为这意味着坏消息的来临。
首席安全官(CSO)为打扰道歉,但可以明显看出她的激动和不安。她刚刚被招来做数据审计的安全顾问吵醒。小组成员昨天晚上加班,在主要的客户数据库中发现了一些异常的数据。当她结结巴巴地说“这可能没什么”的时候,首席安全官也不能掩饰她的恐慌。但是你们双方都知道,如果她真的是这么想,你们现在也不会这么谈话。
自从HM税收和海关(HMRC)发生安全漏洞至今,许多公司都没能从这些事情中吸取经验教训。在HMRC事件后,信息委员会(ICO)已经通过公开、私密和第三组织公布了将近100个数据漏洞。法律公司BrowneJacobsen的CIOPeterBirley在他的私人CIO博客上说:“数据是许多公司的血液,但却常常没有受到很好的关注。”
虽然公司声称这仅仅影响了一小部分客户,无论真实的数据是怎样的,BestWestern已经承受了损害其品牌的后果。如果其他的公司对安全数据不采取必需的预防性措施,并且对数据泄露的后果不正确处理,那么,他们也会面临一样的恶果。
不要恐慌。“事实证明,一个专业积极的方法比起躲在一个小角落里逃避更能保护你。”财经服务专家社BDOStoyHayward技术咨询机构的主管PeterChada这样说道。
黄金第一小时
专家说,在安全数据泄露发生后的黄金第一小时内做影响及结果的评估至关重要。例如,需要推断出谁会对这些数据感兴趣,在个体和其他方面会带来哪些影响。比如说,在最近监狱服务的突发事件中,如果数据落到了罪犯的手中,那么监狱官员家人的安全就可能面临危险。
GeoffDonson之前是高科技犯罪部的侦探,现在是TelecityGroup数据中心的安全经理,他问道:“你在发现了数据泄露之后的黄金时间会怎么做呢?”
“对我而言,我会明确地想知道是什么数据,因为你会想知道这已经带来了什么间接的损失。如果找回这些数据会有帮助么?大概不会,但当数据的性质决定了谁会对其感兴趣的时候,这也有可能。你会想知道有哪些私人数据包括在内,会不会是姓名、地址、详细的银行账户信息等。”
在第一小时如何作出反应很大程度上取决于你的准备和计划。优秀的公司会早已想到在这种情景下确切地会发生什么,并会提出临时费用,立即做出无差错反应。
“成功管理任何突发事件的关键在于通过已有的和测试的计划确保你始终对任何可能发生的事件做好准备。测试检验的价值实在是太大了。我们劝告公共部门和机密部门的客户:经验在于通过测试,去明显提高计划的质量。”信息安全专家活动组的顾问负责人NeilO'Connor说,“你不会想去在真正的危机发生的第一时间去测试计划。”
最初的12小时
如果你可以确定真正丢失的数据是什么,那么泄露的结果就取决于你的公司是否维护了一个详细精确的数据规划,接下来需要找出谁有可能访问过这些数据,是外部的还是内部的,他们会对这些数据信息作些什么。
“一些与计算机相关的法律问题可能会出现。你当然可以观看日志。”Donson说,“从任何微软Windows操作系统的日志都可以看出谁是最后一个访问这个数据的人。你可以看到此数据是否已被复制,当然也能看出是否已被打印。”
作为IT服务公司Logica的安全管理顾问,DaveMartin认为考虑到最坏的情形并对反应作出相应调整也是很重要的。他说:“在开始调查一个突发事件时,我们必须总是假设最坏的结果,我们可能不得不在法庭上为我们的行为辩护。”
倘若你的公司不仅想为数据泄露起诉,并且可能潜在地面临自身被诉讼风险,那么保存好任何可能的证据都非常重要。“随着一个突发事件严重性的快速升级,公司必须靠‘冷冻体系’来保证证据被保留。保存证据则必须由训练有素的计算机法庭服务人员通过非常特别的设备来处理。”Martin建议。
为了保证数据可以被用于法庭分析并最终被法庭采纳,保证任何计算机和媒介的物理安全,确保“证据的连贯性”至关重要,他解释道,最早采取的方法是物理锁上所有的服务器、计算机或者其他的可能与数据泄露有关的硬件。
除了以上的方法,遏制安全漏洞的新闻的扩散也很重要。Martin说:“只需要将这项调查通知一个或两个人,否则你可能会向一个罪人泄露秘密,那么他可能去毁坏这些证据。”
网友评论