实际上,安全咨询机构波耐蒙研究所(Ponemon Institute)的一项近期调查发现,粗心大意的内部人员无疑是数据安全面临的最大威胁,占到了所有泄密事件的78%。
在这篇特写报道中,你将了解一些最新的数据保护技术,不但可以保护公司内部的存储数据,还可以保护通过笔记本电脑、磁带及其他移动介质随意进出贵公司的存储数据。
遗憾的是,数据泄密事件对企业界来说已经成了一种生活方式。据美国身份失窃资源中心(ITRC)声称,2008年登记在案的数据泄密事件比前一年增加了47%。身份失窃专家兼加利福尼亚州欧文Identity Doctor公司的创办人Craig Muller表示,而那些事件只是媒体公开报道的事件。他说:“我经常接到电子邮件,说是哪家公司发生了泄密事件。”
公众绝对感受到了疼痛。在2008年波耐蒙研究所开展的一项调查中,美国各地的1795名成人调查对象当中超过一半(55%)表示,自己在之前的24个月里接到过至少两起数据泄密事件通知;8%的人表示接到过至少四起这类通知。
但是公司对于如何保护自己仍然心里没底。在波耐蒙研究所上个月发布的调查中,接受调查的577名安全专业人士当中只有16%表示,自己对目前的安全做法防止客户或员工的数据丢失或被偷表示有信心或很有信心。
提升信心的一个办法就是分析实际的泄密事件,并从中汲取教训。下文剖析了五种常见的泄密事件,并且给出了如何避免类似灾难的忠告。
一、设备被偷
回顾:2006年5月,为美国退伍军人管理局工作的一个分包商在家里丢失了笔记本电脑和存储磁盘后,有关2650万名退伍军人的个人数据被泄密了。后来两样东西都找回来了,相关人员也被绳之以法。联邦调查局声称,数据没有被窃取;但这起事件促使退伍军人管理局进行全面整改。然而,2007年1月发生了另一起泄密事件:当时退伍军人管理局在亚拉巴马州的一家医疗机构丢失了一台笔记本电脑,结果导致53500名退伍军人和130余万名医生的个人数据泄密。
代价:到2006年6月,退伍军人管理局每天花20万美元来运营呼叫中心,答复有关泄密事件的问题。它还花费100万美元打印及邮寄通知函。经过批准,退休军人管理局重新划拨了多达2500万美元的资金,以支付这些成本。一群人还提起了集体诉讼案,包括要求为受到影响的每个人赔偿1000美元。在2007年那起事件后,退伍军人管理局另外留出了2000万美元,以支付泄密事件有关的成本。该部门最近同意向目前及以前的军事人员支付2000万美元,以调解集体诉讼案。
提醒:设备丢失或被偷在所有泄密事件中占了最多的比例——ITRC表示,2008年约占20%。据律师事务所Seyfarth Shaw芝加哥办事处的合伙人Bart Lazar表示,涉及丢失或被偷笔记本电脑的事件占了他平时接手的数据泄密案件的大部分。
教训:Lazar建议禁止把个人识别信息放在笔记本电脑上。比方说,不要把客户或员工的姓名与其他识别信息(比如社会保障号或信用卡号)联系在一起;另外,你可以截短这些号码。还有,不妨考虑使用自己的独特识别信息,比如把某人姓名中的几个字母与社会保障号的后四位数结合起来。
第二,要求笔记本电脑上的个人信息进行加密,尽管这么做成本可能很高(每台笔记本电脑为50至100美元),还会影响性能。网件公司的存储安全宣传官、存储网络行业协会存储安全行业论坛副主席Blair Semple表示,除了加密外,还需要加强这方面的意识。他说:“我见过人们能够加9
7
3
1
2
3
4
4
8
: