IT专家警告说,企业没有足够的安全流程是脆弱敏感信息知情人泄露。
维基解密持续发布国家电缆的分类美国能源部,以及举报人网站的启示,它很快会上传敏感的内部文件,从一个主要的美国银行,已经激起了世界各国政府和大型企业之间的数据安全问题。
维基解密还没有透露它是如何获得数万国务院电缆或者说,它声称持有银行文件。
然而,相对低级别的美国陆军情报官,在机密文件的维基解密较早泄漏收取,涉嫌在美国国务院的数据泄漏到现场。
一等兵布拉德利曼宁E.还声称已经非法访问并下载了国务院电缆在巴格达的一个军事基地驻扎一段时间。布拉德利今年早些时候被捕,前黑客后,他吐露在把他变成了当局。
在安全性亲的与前黑客网上交谈,阿德里安·拉莫,其中的细节发表在Wired.com今年早些时候,曼宁被指控吹嘘他不得不分类网络每天长达14个小时的“前所未有的访问”。
曼宁涉嫌自称曾绝密清除访问SIPRNET,由国防部和国务院使用的涉密网,并联合全球情报通信系统使用两个机构的绝密/敏感区室信息。
即使他的绝密间隙,明显的事实是曼宁是那么轻易就能拉断的最大的数据泄露有史以来的一个,表明存在严重的安全问题,蒂姆O'Pry,CTO在Henssler金融集团在肯尼索,嘎说。
O'Pry,前美国空军密码破译者进驻国家安全局表示,根据现有的资料,“该系统简单地被设计不当维护和控制信息。”
曼宁的到的信息显著量访问表明,进入高度机密网络上以需要了解的基础不进行控制,他说。
对于企业IT经理来说,维基解密披露的突出采用的重要性“信任,但要验证”的信息安全方法,O'Pry说。“这并不意味着你需要偏执或不信任你的员工 - 正好相反:信任,但核实和,让他们知道你验证,”他补充说。
在Henssler金融到位的财务控制包括分割和限制访问基于工作角色的信息。所有的数据访问和试图访问常规记录和检查。
“当涉及到客户信息,我们知道谁看了一下,当他们看着它,如果它被打印或复制,” O'Pry说。Henssler也运行所有员工至少每年一次,以确定可能导致潜在的问题,问题的信贷和背景检查,他补充说。
“在心怀不满的员工去邮政。仓大众媒体关注的目光,” O'Pry说。“但对于每一个持枪的疯子有成千上万的员工谁得到列举了足以危害到公司”在其他方面。
这可能导致机密信息披露维基解密在信息安全方面的差距很容易在公司露面为好,卑诗水电公司在温哥华智能电网安全的经理道格·鲍威尔说。
“即使信息实施适当的分类并存储到一个合适的水平,获得信息需要有效的监督,”他说。
虽然它是有正确定义的角色,权限和访问级别重要,需要辅助协议控制的方式在数据可信环境进行操作,他说。
例如,鲍威尔说,机密数据必须包含“标签”,以防止其移动受保护域之外没有审查或权限。“越是敏感数据受到保护,也应该有保护的层数越多。”他说。
同样重要的是控制监视,即使是最值得信赖的人才的需要,鲍威尔说。“是的‘可靠’不应意味着更少的推敲,它应该意味着更严格的审查鉴于分配给个人更大的信任允许的损失更大的潜力,”他说。
马特Kesner,CTO在泛伟律师事务所,一个基于旧金山的律师事务所,称维基解密事件应进一步证明企业的IT经理说:“秘密不能在数据系统承担。”
“明确的政策,审计制度和真正的管理监督是必要的,以确保秘密留下的秘密,”他说。
“更多的高管,尤其是IT管理人员,还有那些在人力资源,福利,财务和营销部门,应该质疑”谁有权访问一个公司的最重要的数据,他说。“这不可能是一个猎巫。每个人都需要知道,有安全之间一方面和可用性和易用性上的其他用途,通常大的取舍。”
的威胁通过企业内部数据泄露长期以来安全专家中是一个严重的问题。许多研究表明,敏感企业数据的最大风险来自于不小心,疏忽和/或恶意的内部,而不是外部黑客的攻击。
无处不在的小型可移动存储设备,如USB驱动器和智能手机都大大加剧了问题。曼宁,例如,被指下载了国务院的文件到U盘,并且易于运输,而不引起注意可重写光盘。
使用这种设备的爆炸,根据本周早些时候由安全厂商CREDANT科技公布的调查结果。
超过225人的CREDANT的调查发现,超过一半自己的三根至六个月记忆棒之间更多。和21%拥有10个或更多。的受访者超过85%的人说他们的公司允许使用公司系统的设备。而10%的人说他们有一个包含企业数据,其中大多数人表示,他们不挂失丢失USB设备。
Jaikumar维贾雅恩涵盖了计算机世界的数据安全和隐私问题,金融服务的安全性和电子投票。按照Jaikumar在Twitter上@jaivijayan或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。
了解更多关于安全在计算机世界的安全主题中心。
这个故事,“维基解密事件激起IT安全焦虑”最初发表计算机世界 。