最近的数据在两家银行违反强调什么成为公司处理敏感信息的粗糙的问题:什么时候入侵个人电脑成为数据泄露?
主权问题银行注意到10月15日,当工作人员发现一个计算机网络连接到一个不寻常的IP地址。经过调查,他们发现了一个公司的笔记本电脑上的键盘记录程序。主权不释放许多详细的事件,但在12月,它通知全国50个客户,其数据可能已遭泄露。
在五角大楼的联邦信用合作社,银行使用的近100万名美国军人,笔记本电脑被盗导致一个更大的问题。12月12日,该公司发现,有人在其网络入侵一台笔记本电脑,用它来访问公司数据库,包含信用卡号码,地址,社会安全号码和其他敏感信息。PenFed发言人拒绝透露有多少客户受到影响,但该公司是该证仅在新罕布什尔州514张信用卡。
两起事件凸显出容易砍笔记本电脑可以用来获取敏感信息,这一问题变得更加的企业作为罪犯的问题继续与恶意电子邮件和打击工人drive-by-download网站链接,两个最受欢迎的黑客技术获得恶意软件安装在电脑上。犯罪分子建立drive-by-download网站受害者的计算机上安装恶意软件。通常他们利用计算机漏洞静默安装恶意软件。
据专家们说,主权的决定调查情况,然后通知客户可能比大多数更谨慎。
问题是,它经常不清楚黑客得以访问敏感数据。
在一些公司,尤其是小公司缺乏规范的行业——IT人员碰到黑客入侵计算机系统可能只是擦从头开始,重新设置它,不知道任何监管义务。需要仔细法医审计甚至有机会找出安装恶意软件时,是否用于访问敏感数据。但是,即使有一个法医评估,找出数据是否真的被访问可以猜测的问题。说:“没有正确的答案,”艾伦•考克斯与网络监控公司主要研究分析师网。“这是典型的处理incident-by-incident基础上。”
但即使公司努力找出正确的应对这种类型的黑客,问题越来越多。的键盘记录程序是成为一个常见的问题在任何类型的公司,包括银行,考克斯说。“这是一个顶尖的方式,网络罪犯……倾向于运作,”他说。“你可以得到如此多的信息。”
通常,这是律师决定是否通知客户。和他们如何可以依靠很多东西:监管环境中,公司的规模,公司的企业文化。
通常,可以是一个艰难的决定要求律师。花费很多钱发送通知信,违反后提供信用保护。但是如果一个公司的反应不够强劲,其公众形象就会受到严重的影响。也可以有大的罚款。去年,康涅狄格州的司法部长办公室罚款医疗保险提供者健康净流出250000美元,在某种程度上,因为公司没有正确地响应2009年5月数据被破坏。
“有很多漏洞,从未得到的报告,”道格·波拉克说,首席营销官ID专家,波特兰,俄勒冈州,公司专门帮助清理数据泄露。“你看到的报道违反就是只是冰山一角的发生。”
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com