你能猜到存储数据安全的头号威胁是什么吗?如果你说的是黑客,甚至是制造麻烦的内部人士,那你就错了。尽管恶意威胁仍是人们关注的焦点,但善意的员工更有可能在不知情的情况下,通过文件共享网络或放错位置的笔记本电脑泄露公司存储的数据。
其实是最近的一次波耐蒙研究所研究发现,疏忽的内部人士对数据安全的最大威胁,占所有违规行为的78%。
在这篇特别报道中,您将学习最新的技术保护公司墙内的存储数据以及存储数据在笔记本电脑,磁带和其他可移动媒体上自由进出组织.
并且别忘了拿走了存储网络行业协会的存储安全自我评估测验并测试存储数据的保护情况。另外,与SNIA重温存储术语在线词汇表和资源指南.
不幸的是,数据泄露已经成为美国企业界的一种生活方式。根据身份盗用资源中心(ITRC), 2008年记录在案的数据泄露比前一年增加了47%。克雷格·穆勒(Craig Muller)是一名身份盗窃专家,也是加州欧文市(Irvine) identity Doctor的创始人。他表示:“我不断收到电子邮件,告诉我有漏洞。”
公众肯定感受到了痛苦。在一个波耐蒙研究所2008年的研究在密歇根州的特拉弗斯市在全美1795名成年受访者中,超过一半(55%)的人表示,在过去24个月里,他们收到过两次或两次以上的数据泄露通知,8%的人说他们收到过四次或更多的通知。
但企业仍不确定如何保护自己。在波奈蒙上个月发布的一项调查中,577名受访的安全专业人士中,只有16%的人表示,他们对当前的安全措施能够防止客户或员工数据的丢失或盗窃有信心或非常有信心。
获得信心的一种方法是检查实际的违规行为,并从中吸取教训。以下是五种常见的违规类型,以及如何避免类似事故的建议。
1.赃物
2006年5月,妥协上的2650万退伍军人的个人数据当时,美国退伍军人事务部(U.S. Department of Veterans Affairs)的一名分包商家中的一台笔记本电脑和一个存储盘被盗。两件物品都被找回,并被逮捕。然而,2007年1月,阿拉巴马州一家医疗机构的一台笔记本电脑被盗,导致53.5万名退伍军人和130多万名医生的个人数据泄露。
成本:到2006年6月,退伍军人事务部每天花费20万美元运营一个电话中心,以回答有关入侵的问题。它还花了100万美元打印和邮寄通知信件。它被允许重新分配高达2500万美元来支付这些费用。该公司还提起了集体诉讼,其中一项诉讼要求每个受影响的人赔偿1000美元。在2007年的泄密事件之后,退伍军人事务部额外拨出2000万美元用于与泄密相关的费用。国防部最近同意向现役和退役军人支付2000万美元,以解决一起集体诉讼。
盲眼:ITRC称,设备丢失或被盗占了入侵的最大比例,2008年约占20%。根据Bart Lazar.他是律师事务所Seyfarth Shaw LLP芝加哥办事处的合伙人。他处理的数据泄露案件中,笔记本电脑丢失或被盗的案件占多数。
大开眼界:拉扎尔建议限制在笔记本电脑上放置个人身份信息。例如,不要将客户或员工的姓名与其他标识符(如社保号或信用卡号)联系起来;或者,您可以截断这些数字。另外,考虑创建您自己的唯一标识符,例如,将个人姓氏中的字母与社会安全号码的后四位数字组合起来。
第二,要求对笔记本电脑上的个人信息进行加密,尽管潜在的成本(每台笔记本电脑50到100美元)和性能会受到影响,拉扎尔说。NetApp Inc.存储安全专员、存储网络行业协会(storage Networking Industry Association)副主席布莱尔•森普尔(Blair Semple)说,这需要伴随着提高意识存储安全行业论坛.“我见过一些情况,有些人有能力加密,但没有,”他说。“把碎片弄乱是容易的事;困难的是管理和部署。”
第三,拉齐尔建议要求非常强密码保护数据的策略来保护被盗设备。
2.内部盗窃
2007年11月,Ceregy Check Services的高级数据库管理员,富达国家信息服务的子公司,利用他的特权窃取了850多万客户的记录.然后,他以500,000美元的价格将数据销售给经纪人,经纪人将其转换为直接营销人员。员工在监狱判处四年以上,罚款320万美元。据公司官员称,没有发生身份盗窃,尽管受影响的消费者收到了购买数据的公司的营销征集。
在另一个高调的情况下,他是一名有10年经验的科学家杜邦公司下载了价值4亿美元的商业机密,然后在2005年底离开公司,加入了亚洲的一家竞争对手。根据法庭记录,他利用特权下载了大约2.2万份文件摘要,查看了约1.67万份PDF全文文件。这些文件涵盖了杜邦的大部分主要产品线,包括一些新兴技术。这位科学家在与竞争对手讨论时以及接受工作后的两个月里都是这样做的。他被判在联邦监狱服刑18个月,罚款3万美元,并被责令支付1.45万美元的赔偿金。
成本:在杜邦的案例中,商业机密的估计价值超过4亿美元,尽管政府认为该公司的损失约为18.05万美元的自付费用。没有证据表明机密信息被转移给了在案件中合作的竞争对手。
根据SEMPLE的说法,盗窃客户信息几乎比知识产权盗窃更昂贵。在CERTEGY的情况下,2008年的定居点为所有类别或财务信息被盗的所有阶级行动原告的某些未经认证的身份盗用亏损提供了高达20,000美元的赔偿。
眼罩:2008年近16%的记录违规者归因于ITRC;这是前一年的速度。根据Carnegie Mellon University的Cert协调中心的说法,这一增加的一个原因是犯罪者正在招聘员工的员工,这是一项涉及1996年至2007年期间犯下的内幕犯罪的一半趋势。
CERT表示,内部人士犯罪有两个原因:经济利益(如Certegy案)和商业优势(如杜邦案)。CERT说,在后一种情况下,犯罪活动通常在员工辞职时开始,但盗窃通常发生在他们离开后,留下了通往他们想要的数据的秘密访问路径。
山普尔说,内部威胁是最难管理的,尤其是当员工使用特权访问时。
CERT说,eyen-Openers:良好的预防措施是监控数据库和网络访问,并为不同用户提供代表可接受的使用的阈值这使得更容易检测到特定工作指定的员工以外的职责。例如,杜邦发现了非法活动,因为科学家对其电子数据库服务器的使用异常繁忙。
CERT表示,如果你怀疑已经发生了泄密事件,为了将信息传播的机会降到最低,并给执法机构开始调查案件的机会,迅速采取行动是很重要的。
拉扎尔说,公司还应实施基于角色的访问控制工具,以维持谁正在访问有价值的资产的责任。包含客户或员工信息的数据库应允许访问非常有限。“每天都有多少人需要在未经许可的情况下审查社会安全号码和地址?”他说。“个人信息应以与商业秘密相同的水平保护。”
Muller建议使用数据丢失防止工具限制个人数据通过电子邮件,打印或复制到笔记本电脑或外部存储设备上。其中一些工具提供了通知管理员的警报,当有人尝试复制个人数据并创建此类事件的日志文件时。“在很多情况下,公司没有适当的审计跟踪,”他说。
Semple说,加强内部控制和审计措施也很重要,例如,对网络和数据库活动日志进行迭代检查。只保留详细的日志是不够的;您还需要适当的审计措施,以查看是否有人修改了日志或非法访问了日志。他表示:“除非有某种方法可以确认日志信息没有被篡改,否则很难知道它的价值。”
但最终,技术是不够的。Semple表示:“你需要找到一种方法,确保你信任的用户值得信任。
3.外部入侵
2007年1月,零售商The TJX Companies Inc。报道称其客户交易系统遭到黑客攻击。2003年至2006年12月期间发生的入侵 - 让黑客获得了9400万客户账户。发现被盗信息已以800万美元的礼品卡计划和假冒信用卡计划使用。在2008年夏天,11人被指定对事件有关的费用,这是美国司法部最大的黑客和身份盗窃案。
成本:TJX估计违约的成本为2.56亿美元。这包括修复计算机系统的成本并处理诉讼,调查,罚款等。它还包括签证(4100万美元)和万事达卡(2400万美元)的付款。联邦贸易委员会要求该公司未来20年每隔一年接受独立的第三方安全审核。
然而,其他人预计成本可能会上升到10亿美元,其中包括法律和解和失去客户的成本。根据2008年4月的Ponemon学习,一家公司31%的客户和收入来源会在数据泄露后终止与某个组织的关系。在最近发布的年度报告中“数据泄露的成本”研究在美国,波奈蒙发现,与2007年的197美元相比,去年每一个被泄露的客户记录给公司造成的损失为202美元。与失去商业机会相关的成本是增长中最重要的组成部分。2008年数据泄露的平均成本为660万美元,而2007年为630万美元。
布林德斯:根据2008年Ponemon的一项研究,在安全威胁方面,黑客的数据泄露远远排在第五位。事实上,根据ITRC的数据,2008年记录在案的入侵事件中约有14%涉及黑客攻击。不过,这并不意味着企业不应该保持警惕。在TJX的案例中,黑客通过“战争驾驶”侵入了该公司的无线网络。TJX使用的是低于标准的加密,而且它未能在使用无线网络的计算机上安装防火墙和数据加密。这使得窃贼能够在网络上安装软件,获取存储在系统中的旧客户数据,并拦截手持价格检查设备、收银机和商店电脑之间的数据流。
令人大开眼界:据穆勒称,TJX在其无线网络上使用的WEP加密技术还不够,甚至比许多家庭用户使用的加密技术还弱。他表示:“如果你能从停车场进入数据库,就需要更高级别的数据安全和数据加密。”穆勒说,TJX还存储了旧的账户信息,而不是永久删除。
4.疏忽员工
远程办公的配偶Pfizer Inc.员工安装未经授权的文件共享软件在工人的公司笔记本电脑上,使外人能够访问包含大约17,000个当前和前辉瑞员工的名称,社会安全号码,地址和奖金信息的文件。调查显示,约有15,700人被人们访问并复制了他们的数据在点对点网络上,另外1,250个可能暴露的数据。由于系统被用于从辉瑞网络之外访问互联网,因为没有其他数据遭到泄露。(了解如何根据工作职责教导员工防范攻击.)
成本:辉瑞公司从信用报告机构签订“支持和保护”套餐,其中包括对受影响的人的一年免费信用监测服务,占据违反违规行为可能会产生的费用的25,000美元的保险单.