波耐蒙研究所(Ponemon Institute)的一项研究显示,2007年,数据泄露给企业造成的损失平均为197美元。数据泄露的平均成本为630万美元,高于2006年的480万美元。
而这仅仅涵盖了直接成本。根据波耐蒙公司的研究,一次广为人知的数据泄露也会导致商业机会的损失,每次泄露的客户记录损失高达128美元。难怪公司都急于加强对数据泄露的防御。
在这个故事包中,我们将描述5个最糟糕的数据泄漏噩梦,记录数据泄漏市场的快速整合,概述5个关键的数据泄漏公司,并采访一位数据丢失预防方面的领先专家。
梦魇1:
电影在11
高调数据泄漏可能花费公司数百万美元。只要问问TJX。什么时候家得宝丢了一台笔记本电脑包含上万名员工的个人信息,这只是高调的数据泄漏事件的字符串的最新产品。该退伍军人管理局,TJX,Monster.com,忠诚国家信息服务,辉瑞公司,AOL,Ameritrade- 这样的例子不胜枚举和。
这噩梦得到,如果你有过错,而不是简单的黑客的受害者更糟糕。考虑最公开的数据泄露的受害者之一:TJX。这次袭击肯定是黑客的过错,但根据卡罗尔·巴鲁迪,研究总监,阿伯丁集团安全技术,TJX必须承担一定的责任。
“TJX不应该存储磁条信息,在他们的数据库,”巴鲁迪说。“这是一个有缺陷存储政策。他们甚至没有意识到自己正在将个人信息置于危险之中。”
更糟糕的是,TJX并没有发现这个漏洞。签证了。TJX入侵事件已经从一个噩梦变成了一个反复出现的噩梦,该公司受到了一个又一个诉讼的打击,最新的一个是十月法院立案信用卡公司指称违反创下9400万张信用卡,两倍多TJX承认。
另一个例子是AOL。AOL的数据泄露是不坏的政策的结果,而是好(尽管误导)的意图。在泄漏时,AOL有一个新兴的研究现场其所发布用户的搜索历史来推动进一步的研究。这一举动不经意露出的网络冲浪很多用户的习惯。
Yes, AOL kept its users’ identities secret, but anyone who bothered to dig into the nitty-gritty details of those searches could figure out who was browsing for what, since people often search for themselves, close friends, their hobbies, organizations they belong to, and businesses near them.
AOL的员工没有打算伤害组织,但这些无意的事件可以是一样糟糕 - 甚至更糟 - 因为恶意的。
梦魇二:
短信擦枪走火
不保护电子邮件可能导致严重的数据泄漏问题乔治华盛顿大学(GWU)医院差点,可能有国家数据泄露安全影响。美国副总统切尼被安排参观了医院,特勤局试图发送可能损害他的安全有风险的加密电子邮件。
乔治华盛顿大学(George Washington University)负责安全系统操作的助理主任艾米•亨宁斯•巴特勒(Amy Hennings Butler)表示:“特勤局向协调人员发送了一封电子邮件,告知我们他们将从大楼的哪条路线穿过,包括使用哪部电梯。”“在我们看来,这类敏感信息不应该通过互联网发送——尤其是以明文电子邮件的形式。”
因为它以前从安装一个Reconnex数据泄露防护(DLP)产品,其触发报警GWU躲过这一数据泄漏子弹。在DLP系统(比较产品)回应一些文本,以及缺乏加密,允许IT管理员阻止的消息的。谁发送电子邮件代理最有可能违反了特勤局自己的数据安全策略,但它是大学的安全,引起了它。
“电子邮件仍然是最大的问题,到目前为止,” Forrester Research的分析师G.奥利弗·杨说。“这是在它的信息的旅行无处不在,大量的,而且很容易向前文件,甚至没有思考,包含敏感信息。”
某些行业,如医疗保健和金融,是领先的曲线,当谈到因为像健康保险流通与责任法案以及格雷姆 - 里奇 - 比利雷法案规定的电子邮件的安全性。正因为如此,他们已经超越创造政策和信任员工培训的创可贴方法。
“即使有强有力的政策,人们可能没有意识到他们正在发送出的敏感数据,”约翰·Vander Velde提供了密歇根湖金融公司的控股公司在密歇根州北部社区银行的管理人员和IT经理说。
“我们把风险矩阵一起,Vander Velde提供说,”我们很快意识到,我们最大的风险就是电子邮件。即使是训练有素的员工可能无意中发出可能被捕获或嗅探信息“。
一个2007年7月的调查由Forrester的咨询机构,例如,发现受访者(308名IT专业人士在美国企业,员工1000余人),第三个曾调查的电子邮件,他们认为,在过去的一年中已经泄露机密数据。
通过Proofpoint的委托,调查还发现,受访者估计,出站的电子邮件大约含有20%“的内容,构成了法律,财务或监管风险。”同时,多接受调查的公司一季度已经终止了在过去一年中违反公司的电子邮件政策的员工,而45%的人因违反政策纪律的员工。
密歇根湖金融得出的结论是,它需要技术作为一种超越行政策和培训辩护。该公司最终转向了DLP产品,在这种情况下,来自Proofpoint的。“像这样的解决方案应该对金融业整体有利,” Vander Velde提供论证。“即使他们推出了关于机构按机构的基础上,带来的好处应该是深远的。”
噩梦的三
出租车自白
失去一台笔记本电脑,手机或USB驱动器比你想象的更常见密歇根湖金融的第二大担忧是便携数据。使用GFI EndPointSecurity,密歇根湖金融防止用户下载敏感数据到USB驱动器或cd。
“Vista还没有达到在细粒度上控制事物的标准,”Vander Velde说。“我们有一些部门使用便携式存储作为备份,这样他们就可以在家工作。Vander Velde指出,一开始员工确实会抱怨,因为这打断了他们的工作流程。通过提供替代的、安全的存储和远程访问选项,密歇根湖金融使大多数人满意。
据巴鲁迪仔,大多数机构都正准备在那儿的风险与笔记本电脑丢失相关联,甚至还没有开始对移动存储的思维。风险,不过,往往是不同的。
“一台笔记本电脑和USB驱动器之间的区别在于,一个USB你故意移动数据,”她说。因此,风险往往与内线攻击和IP盗用。希望是训练他们下载敏感数据之前的政策,至少可以让工人暂停。“一台笔记本电脑,你可能不打算将数据移动到一个不太安全的地方,”她说。
事实上,根据埃森哲的交通实践,不太安全的地方通常是出租车。埃森哲发现,最大的风险至移动工人不是贫穷无线上网安全驾驶还是战争驾驶——这才是最重要的手机安全计划重点 - 而它的员工谁只是忘记了自己的笔记本电脑,PDA和移动电话的出租车。
USB硬盘,老硬盘驱动器,并且放置在汽车的前座的笔记本电脑都带来巨大的风险。家得宝,辉瑞公司和VA都遇到了麻烦,当持有机密信息的笔记本电脑被盗。如果没有防止在首位这些便携式设备不断获得敏感数据,这几乎是不可能保证对机会主义小偷或简单的健忘。
排名第四:
多嘴博
内部博客是伟大的,除非员工开始溢出公司机密Web 2.0的,网络电话等新技术推动了安全专家的疯狂 - 至少在球上不够注意他们的组织。以一些简单的博客。
在微软微软的博客Mini-Microsoft已经激起了一堆争议。该博客的作者是一位不愿透露姓名的微软员工,据他说,该博客最初是一个论坛,用来“展示很多人在午餐时间的对话,讨论他们对微软的问题和担忧。”
在我们对Mini-Microsoft作者的电子邮件采访中,他说:“你可以看到很多来自内部的深刻的、深思熟虑的、建设性的批评。即使在今天,我也不能说这有什么用。两年前,当许多担忧被公之于众时,我们做了一些事情。如果没有博客,这一切还会发生吗?也许吧。不过,可能不是。”
Aberdeen的巴鲁迪有匿名企业博客的一个问题。“匿名博客是不负责任的。如果你觉得强烈而你不愿意把你的名字给它,它就会失去信誉。如果你把你的名字给它,有一个对话。”
难道迷你微软同样有效减去匿名的外衣?“绝对不会,”迷你微软写道。“如果我开始在我的真实姓名这个博客那么我将是人谁只想问题是如何在XYZ工作的人可能可能有一个关于[无关]项目发言权迅速关闭。
“有会是更多的批评对我和我的职责是什么谁。“嘿,你为什么不写博客的功能栏是怎么坏了?”这是人的本性。神秘允许知识的假设,并提供许可的思考。我不能说这会被视为职业能力为领导了从我的链“。
倡导博客带来了IT安全的严重困境。匿名灵魂的最公司的像迷你微软深受员工重视。因为他们暴露了威胁国家安全的不正常的做法告密博客像来自洛斯阿拉莫斯国家实验室是更有价值。
然而,这些博客做带来风险。如果机密数据被泄露,例如,管理有正当理由担心。PR和营销主管撕扯自己的头发出来搞清楚如何向坏消息往往伴随着这些博客回应。
然而,大多数组织根本不知道如何处理这些博客,因此,大多数组织要么忽视它们,要么试图关闭它们——这通常会使士气恶化,产生更多负面新闻。
其他新技术也面临着同样的困境。以IBM的眼光来看,这本质上是一个mashup应用用于可视化数据。“有大量的数据有没有可能不应该,” Forrester的Young说。“你可以找到销售预测和企业的损益表。”很多人眼中并不总是显示该数据是从哪里来的,但大部分是不是很难搞清楚。
有来自政府机构,包括美国中央情报局甚至数据。如果特勤不能被信任送不出去的未加密的行程,这不是夸张地什么它的发帖担心在许多眼睛。
噩梦五:
裁员灾害
在合并、裁员和重组期间,数据盗窃会增加当一家公司宣布合并 - 或更糟的是,瘦身 - 员工忠诚度可以破坏。“数据卸载的这些事件中的量是巨大的,”罗伯特Yonowitz,与费舍尔和菲利普斯,律师事务所,律师事务所,专门从事劳动和就业法的合伙人。
通常情况下,组织不善计划这些事件,恶化的问题。例如,如果一家公司宣布员工减少10%,但并没有说谁是安全的,谁不是,那么数据被盗的风险显著上升。
如果你的公司没有预料到裁员或很快改组,不要认为你可以高枕无忧。同样的力度到位,尽管其规模要小得多,随时关键员工跳槽。当员工离开公司,那个人平时一直是一两个月前,当大多数数据失窃发生时是规划。
据Yonowitz,90%的数据丢失的情况下,他认为涉及客户名单。例如,当市场或销售代表移动到竞争对手,他们经常许诺给他们带来业务。
商业关系陷入了一个模糊的领域。从法律上讲,公司拥有员工在工作中收集到的商业关系和关键信息,但员工当然有权维护和更新支撑那些更大的商业关系的个人关系。
这是确定的,那么,对于员工宣布跳槽到主要联系人。那个人很可能违反非竞争条款,不过,如果公告更像是一个邀约。
该情况下,企业在失去的睡眠,但是,通常远远超出关系的灰色地带。“这些情况都是不只是人服用姓名和地址,但我称之为‘客户的剧本,’” Yonowitz说。“这些事情像购买习惯,合同条款,对那些合同到期日期,以及尚未关闭的潜在交易的状态。”
在这些情况下,时间至关重要。Yonowitz估计,90%的损失是在员工离职后两周内造成的。如果您不快速捕获数据丢失并立即响应,那么损害已经造成。