波耐蒙研究所(Ponemon Institute)的一项研究显示,2007年,数据泄露给企业造成的损失平均为197美元。数据泄露的平均成本为630万美元,高于2006年的480万美元。
而这仅仅涵盖了直接成本。根据波耐蒙公司的研究,一次广为人知的数据泄露也会导致商业机会的损失,每次泄露的客户记录损失高达128美元。难怪公司都急于加强对数据泄露的防御。
在这个故事包中,我们将描述5个最糟糕的数据泄漏噩梦,记录数据泄漏市场的快速整合,概述5个关键的数据泄漏公司,并采访一位数据丢失预防方面的领先专家。
梦魇1:
电影在11
高调数据泄漏可能花费公司数百万美元。只要问问TJX。什么时候家得宝丢了一台笔记本电脑包含上万名员工的个人信息,这只是高调的数据泄漏事件的字符串的最新产品。该退伍军人管理局,TJX,Monster.com,忠诚国家信息服务,辉瑞,美国在线,Ameritrade- 这样的例子不胜枚举和。
如果你是错误的,而不是黑客的受害者,这个噩梦会变得更糟。想想最广为人知的数据泄露受害者之一:TJX。这次攻击当然是黑客的错,但据Aberdeen Group安全技术研究主管卡罗尔·巴罗迪(Carol Baroudi)说,TJX必须承担一些责任。
“TJX不应该在他们的数据库中存储磁条信息,”Baroudi说。“这是一个缺陷存储政策。他们甚至没有意识到自己正在将个人信息置于危险之中。”
更糟糕的是,TJX并没有发现这个漏洞。签证了。TJX入侵事件已经从一个噩梦变成了一个反复出现的噩梦,该公司受到了一个又一个诉讼的打击,最新的一个是十月法院立案信用卡公司声称,被入侵的信用卡数量达到了9400万张,是TJX承认的数字的两倍。
另一个例子是AOL。AOL的数据泄露是不坏的政策的结果,而是好(尽管误导)的意图。在泄漏时,AOL有一个新兴的研究现场其所发布用户的搜索历史来推动进一步的研究。这一举动不经意露出的网络冲浪很多用户的习惯。
Yes, AOL kept its users’ identities secret, but anyone who bothered to dig into the nitty-gritty details of those searches could figure out who was browsing for what, since people often search for themselves, close friends, their hobbies, organizations they belong to, and businesses near them.
AOL的员工没有打算伤害组织,但这些无意的事件可以是一样糟糕 - 甚至更糟 - 因为恶意的。
梦魇二:
短信擦枪走火
不保护电子邮件可能导致严重的数据泄漏问题乔治华盛顿大学(GWU)医院差点,可能有国家数据泄露安全的影响。副总统迪克·切尼按计划将访问这家医院,而特勤局试图发送一份危险的未加密电子邮件,可能危及他的安全。
乔治华盛顿大学(George Washington University)负责安全系统操作的助理主任艾米•亨宁斯•巴特勒(Amy Hennings Butler)表示:“特勤局向协调人员发送了一封电子邮件,告知我们他们将从大楼的哪条路线穿过,包括使用哪部电梯。”“在我们看来,这类敏感信息不应该通过互联网发送——尤其是以明文电子邮件的形式。”
因为它以前从安装一个Reconnex数据泄露防护(DLP)产品,其触发报警GWU躲过这一数据泄漏子弹。在DLP系统(比较产品)回应了一些文本,以及缺乏加密,这使得IT管理员可以阻止消息。发送这封电子邮件的特工很可能违反了特勤局自身的数据安全政策,但正是学校的安全部门发现了这封邮件。
“电子邮件仍然是最大的问题,到目前为止,” Forrester Research的分析师G.奥利弗·杨说。“这是在它的信息的旅行无处不在,大量的,而且很容易向前文件,甚至没有思考,包含敏感信息。”
某些行业,如医疗保健和金融,在电子邮件安全方面走在了前面,因为有像《医疗保险便携性和问责法案》和《金融服务现代化法案》这样的法规。正因为如此,他们已经超越了制定政策和信任培训员工的权宜之计。
“即使有强有力的政策,人们可能没有意识到他们正在发送出的敏感数据,”约翰·Vander Velde提供了密歇根湖金融公司的控股公司在密歇根州北部社区银行的管理人员和IT经理说。
“我们把风险矩阵一起,Vander Velde提供说,”我们很快意识到,我们最大的风险就是电子邮件。即使是训练有素的员工可能无意中发出可能被捕获或嗅探信息“。
例如,2007年7月Forrester咨询机构的一项调查发现,在接受调查的人中(有308名IT专业人士供职于拥有1000多名员工的美国企业),有三分之一的人调查过他们认为在过去一年中泄露了机密数据的电子邮件。
受Proofpoint委托进行的这项调查还发现,受访者估计,约20%的发送电子邮件含有“构成法律、金融或监管风险的内容”。与此同时,在接受调查的公司中,超过四分之一的公司在过去一年中曾因员工违反公司电子邮件政策而解雇员工,45%的公司曾因员工违反政策而对其进行纪律处分。
密歇根湖金融得出的结论是,它需要技术作为一种超越行政策和培训辩护。该公司最终转向了DLP产品,在这种情况下,来自Proofpoint的。“像这样的解决方案应该对金融业整体有利,” Vander Velde提供论证。“即使他们推出了关于机构按机构的基础上,带来的好处应该是深远的。”
噩梦的三
出租车自白
失去一台笔记本电脑,手机或USB驱动器比你想象的更常见密歇根湖金融的第二大担忧是便携数据。使用GFI EndPointSecurity,密歇根湖金融防止用户下载敏感数据到USB驱动器或cd。
“Vista还没有达到在细粒度上控制事物的标准,”Vander Velde说。“我们有一些部门使用便携式存储作为备份,这样他们就可以在家工作。Vander Velde指出,一开始员工确实会抱怨,因为这打断了他们的工作流程。通过提供替代的、安全的存储和远程访问选项,密歇根湖金融使大多数人满意。
据巴鲁迪仔,大多数机构都正准备在那儿的风险与笔记本电脑丢失相关联,甚至还没有开始对移动存储的思维。风险,不过,往往是不同的。
“笔记本电脑和USB驱动器的区别在于,有了USB,你就可以有意识地移动数据,”她说。因此,风险往往来自内部攻击和知识产权盗窃。他们希望,培训和政策至少能让员工在下载敏感数据前三思。“使用笔记本电脑,你可能不会打算把数据转移到不太安全的地方,”她说。
事实上,根据埃森哲的交通实践,不太安全的地方通常是出租车。埃森哲发现,最大的风险至移动工人不是贫穷无线上网安全驾驶还是战争驾驶——这才是最重要的移动安全计划重点 - 而它的员工谁只是忘记了自己的笔记本电脑,PDA和移动电话的出租车。
USB驱动器、旧硬盘驱动器和放在汽车前座的笔记本电脑都有巨大的风险。家得宝(Home Depot)、辉瑞(Pfizer)和退伍军人事务部(VA)都因持有机密信息的笔记本电脑被盗而陷入麻烦。如果不从一开始就阻止敏感数据进入这些便携设备,几乎不可能防止机会主义的小偷或简单的健忘。
排名第四:
Blabber-blogs
内部博客是伟大的,除非员工开始溢出公司机密Web 2.0,网络电话等新技术推动了安全专家的疯狂 - 至少在球上不够注意他们的组织。以一些简单的博客。
在微软微软的博客Mini-Microsoft已经激起了一堆争议。该博客的作者是一位不愿透露姓名的微软员工,据他说,该博客最初是一个论坛,用来“展示很多人在午餐时间的对话,讨论他们对微软的问题和担忧。”
在我们对Mini-Microsoft作者的电子邮件采访中,他说:“你可以看到很多来自内部的深刻的、深思熟虑的、建设性的批评。即使在今天,我也不能说这有什么用。两年前,当许多担忧被公之于众时,我们做了一些事情。如果没有博客,这一切还会发生吗?也许吧。不过,可能不是。”
Aberdeen的巴鲁迪有匿名企业博客的一个问题。“匿名博客是不负责任的。如果你觉得强烈而你不愿意把你的名字给它,它就会失去信誉。如果你把你的名字给它,有一个对话。”
除去匿名的外衣,迷你微软还能同样有效吗?“绝对不是,”Mini-Microsoft写道。“如果我用真名开了这个博客,那么我很快就会被人关闭,他们会质疑一个在XYZ工作的人怎么可能对一个(不相关的)项目有发言权。”
“有会是更多的批评对我和我的职责是什么谁。“嘿,你为什么不写博客的功能栏是怎么坏了?”这是人的本性。神秘允许知识的假设,并提供许可的思考。我不能说这会被视为职业能力为领导了从我的链“。
倡导博客带来了IT安全的严重困境。匿名灵魂的最公司的像迷你微软深受员工重视。因为他们暴露了威胁国家安全的不正常的做法告密博客像来自洛斯阿拉莫斯国家实验室是更有价值。
然而,这些博客做带来风险。如果机密数据被泄露,例如,管理有正当理由担心。PR和营销主管撕扯自己的头发出来搞清楚如何向坏消息往往伴随着这些博客回应。
然而,大多数组织根本不知道如何处理这些博客,因此,大多数组织要么忽视它们,要么试图关闭它们——这通常会使士气恶化,产生更多负面新闻。
其他新技术也面临着同样的困境。以IBM的眼光来看,这本质上是一个mashup应用程序用于可视化数据。“有大量的数据有没有可能不应该,” Forrester的Young说。“你可以找到销售预测和企业的损益表。”很多人眼中并不总是显示该数据是从哪里来的,但大部分是不是很难搞清楚。
甚至有来自政府机构的数据,包括中央情报局。如果我们不能相信特勤局不会发送未加密的行程,那就不用担心它会在很多人的眼里发布什么了。
噩梦五:
减少灾害
在合并、裁员和重组期间,数据盗窃会增加当一家公司宣布合并——或者更糟的是裁员——员工的忠诚度就会被削弱。费舍尔菲利普斯律师事务所(Fisher & Phillips, LLP)的合伙人罗伯特·约诺维茨(Robert Yonowitz)说:“在这些活动期间,数据的卸载量是巨大的。”
通常,组织对这些事件的计划很差,使问题更加恶化。例如,如果一家公司宣布裁员10%,但没有说明谁是安全的,谁是不安全的,那么数据盗窃的风险就会显著上升。
如果你的公司没有打算在短期内裁员或重组,不要以为你可以放心。尽管规模小得多,但当关键员工更换工作时,同样的动力也在发挥作用。当一名员工离开公司时,他通常已经计划了一两个月,而这正是大多数数据盗窃发生的时候。
据Yonowitz,90%的数据丢失的情况下,他认为涉及客户名单。例如,当市场或销售代表移动到竞争对手,他们经常许诺给他们带来业务。
商业关系陷入了一个模糊的领域。从法律上讲,公司拥有员工在工作中收集到的商业关系和关键信息,但员工当然有权维护和更新支撑那些更大的商业关系的个人关系。
这是确定的,那么,对于员工宣布跳槽到主要联系人。那个人很可能违反非竞争条款,不过,如果公告更像是一个邀约。
然而,公司失眠的例子通常远远超出了关系的灰色地带。Yonowitz说:“这些案件不仅仅是人们记下姓名和地址,而是我所说的‘客户剧本’。”“比如购买习惯、合同条款、合同到期日期,以及尚未完成的潜在交易的状况。”
在这些情况下,时间至关重要。Yonowitz估计,90%的损失是在员工离职后两周内造成的。如果您不快速捕获数据丢失并立即响应,那么损害已经造成。