觀點

ChoicePoint 資料遭竊的資安風暴

2005 / 04 / 04
Michael S.Mimoso
ChoicePoint 資料遭竊的資安風暴

對於媒體大肆報導ChoicePoint公司被詐欺事件跟網路駭客有關,Baich對此感到忿忿不平。身份竊盜與冒用日益猖獗,媒體也再三報導類似ChoicePoint的案例,卻忽略掉詐欺嫌犯已經在二月份已經被逮捕起訴的細節。根據加州的SB 1386法案,必須強制公開這一類的資訊給股東和客戶,但是不必等到ChoicePoint公司公布,媒體就已經自行宣判ChoicePoint公司的無期徒刑。

Baich說:「有沒有人會站出來說,這樣的媒體誤導訊息,把詐欺事件跟駭客混為一談,已經搞垮ChoicePoint」。「媒體瘋狂的報導,誤導大眾把駭客與詐欺事件貼上標籤,造成大眾對ChoicePoint公司資安出紕漏等負面印象、沒有提供適當的資料保護。詐欺幾乎天天發生,但駭客入侵卻不然。」

不管受害者是如何看待,還有各大媒體的行徑。ChoicePoint公司的事件,已儼然成為極重要的快速事件應變處理的案例,教大家如何配合執法單位進行調查,成為處置資料外洩與因應媒體壓力的活教材。
待宰的肥羊
自1997年以來,ChoicePoint歷經50次企業併購,目前已經是全美最有錢的個人資料處理廠商。社會安全號碼、地址、醫療紀錄、犯罪紀錄還有各種你可以想到的資料,都儲存在ChoicePoint的資料庫中。像ChoicePoint、Lexis-Nexis與其他的大企業,都會將這些資料拿來做個人背景調查,通常用於就業市場、信貸與犯罪偵察,凡是企業或政府機關需要查詢個人資料,都會使用這個資料庫。

像Baich這樣的CISO,對於駭客、組織犯罪集團以及詐騙手法,必須十分的清楚,因為他們垂涎著這些寶貴的資料。而CISO們也了解天底下沒有一項安全控制措施或營運程序是百分之百的完美。隨時都有可能像ChoicePoint在去年十月份所發生的事件,它們後端防詐騙系統發現,企業的對外公開記錄部門中有異常行為,發現有不懷好意的人知道如何騙過公司的身份查驗程序,並且設定假的電話門號,假借查詢之便在全美偷走上千筆資料。

這已經夠讓CISO頭痛了,更糟的是雖然有緊急事件應變計畫,但是從來就沒有人去試過是否可行。如果你負責企業的安全規劃,最好現在就準備測試一下你的緊急事件應變計畫和處理小組,這可是和你切身相關的。尤其是要知道如何處理公關與媒體的窮追猛打。

「面對安全事件,CISO應該要有所計畫,並且測試其可行,不論是多小的環節都要仔細檢視。」ISS X-Force營運長Patrick Gray說。緊急的時候,哪有時間讓你再去想程序、步驟和計畫,當災害發生時,一切都為時已晚。會出紕漏的企業都是那些沒有準備和應變計畫的。

通常CISO會把事件緊急應變計畫,當作是一項以防萬一的策略,而不想投入太多預算。很明顯地,計畫中一定會指派專人處理緊急事件,並且描述如何對受害區域進行隔離與調查活動、如何將系統回復到正常狀態、強化修補系統免於遭受相同的攻擊。但是如何去控制在組織之外的資訊、消息的散佈,也就是傳播媒體的公共關係處理,這項程序往往被忽略或低估。如果無法有效控制,避免錯誤的訊息傳達到股東與顧客耳朵裡,這種破壞性極大的壓力會讓公司的聲譽與營運一夕垮台。

EDS的安全與隱私部門主管Rebecca Whitener認為,如果你真正了解顧客資料外洩造成的災難有多大,就知道更嚴重的問題還在後頭呢!往往都不會立即出現,也不會被列入衝擊評估報告中。沒有人可以估計這種資料外洩,使這些顧客身陷各種風險中,當顧客開始覺得不對勁,認為他們隱私與重要資料被竊,這種騷動會讓公司整個形勢扭轉。

照表操課
企業不能低估或誤導整個問題的重要性,應該坦率地公布適當的調查程序與結果。在ChoicePoint的案例中,雖然在六個月前,其內部就已經發現問題,並且進行調查,但是調查結果一直等到今年二月份,抓到嫌疑犯之後才從媒體曝光。 ChoicePoint公司顯然沒有一套處理這種處理緊急事件的應變計畫,更遑論照表操課全盤掌握情勢。

整個事件應該是這樣的。他們第一步是致電洛杉磯警察,先向警方備案。直到嫌犯,住在好萊塢、41歲的Olatunji Oluwatosin,被以身份竊盜與詐欺重罪被求處16個月徒刑。調查人員表示,嫌犯是詐欺集團的一員,虛造人頭帳號,偽裝成清算機構與信貸清查者的角色,存取ChoicePoint公司內190億筆的資料。至今已有接近750名受害者報案,因此而被盜用身份蒙受損失。

雖然ChoicePoint已經協助警方將詐騙集團的一部分繩之依法,但是迎面而來的艱鉅挑戰,是如何去修補已經千穿百孔的公司商譽。很顯然地,這會被當成一個最糟的示範,從未善盡管理程序與評估風險,必須負起資料外洩的責任,而且應該配合執法機關調查,到危機發生期間應該確認所有媒體都已收到正確的訊息。

加州的SB 1386法律,強制要求ChoicePoint應該要公開整個事件始末,這個法律在許多州和聯邦政府均有類似法案,要求在本地經營的企業必須向大眾公開各種安全方面的受害報告,尤其是個人資料外洩的案例。在ChoicePoint的事件中,超過三萬五千名加州居民與其他11萬的美國民眾的資料外流。因為ChoicePoint沒有善盡管理責任,讓歹徒利用假造的公司,從合法管道複製個人身份資料,使其被貼上不盡責資料管理商的標籤。也凸顯了媒體大量的筆伐,讓其他廠商有前車之鑑,好好整頓其緊急應變計畫的可行性與完整性。

前FBI教育中心教官,現任Red Cliff電腦鑑識與顧問公司的Kevin Mandia說︰「以前大多類似的案例,都被掩飾的很好。直到媒體披露ChoicePoint的問題,才讓這種永不可能洩漏個人資訊的神話故事被打破。」「如果公司具備很周延的安全資訊處置程序,可以處理媒體的窮追猛打,毫無疑問地,你的應變計畫就可以派上用場,如果不幸災難真的發生了,就要啟動緊急應變程序,照著計畫來應變,包括人力資源部門與法務部門的介入,一切就會在掌控中。」CSO與法律顧問也可以信心滿滿的表示,我們已經做好萬全準備,一切都在掌握中。

一般而言,企業必須遵循法律規章的要求,以及因應外來的輿論壓力,對外公布安全事件的發生與處理經過。沒有人會想步上ChoicePoint的後塵。更不想看到股價在三週內跌了8塊,現在有了前車之鑑,其他企業將會更重視如何正確有效地處理緊急事件,而不必事後再去澄清新聞媒體的報導,將單純詐欺事件與網路駭客入侵混為一談的一場夢魘。

EDS的Whitener認為︰「你必須找一個充分了解事件始末與處理進度的人,可以用媒體人的角度與傳媒溝通,召開記者會對外說明。」「如果消息傳遞有落差,甚至誤導,那真的是一大問題。所以,聯絡與發佈的管道一定要可靠、人選要適當,發生錯誤的機會也比較小。這個人選不一定是CISO,有時候他們不見得是面對媒體的最佳人選。」

百“練”成鋼
如果訊息通報延誤,就是延宕應變矯正的時機。所以,應變計畫不能只是擱著不演練,等到事情發生才去補破網。至少每季要針對內部及外部的安全事件進行模擬演練。而應變組員也不能一直更換,要是有成員因職務調動而更換,就得確認其對整個程序的熟悉度是否足以擔當。

安全經理也可以趁著應變演練時,來評估公司內的資料,哪些是需要集中與額外保護的。CSO必須評估資訊系統與資料風險的相關程度,並且追蹤各種人員與程序上的漏洞。光是單純依賴科技來消弭風險,是相當不智的。

「CSO應該找一個可對資訊進行分級的系統,而且要了解哪些資料是敏感等級的、哪些是機密等級的,哪些屬於客戶資料、哪些是公司資料。這是CSO最重要的角色與職責所在。CSO必須了解資料的來龍去脈,誰可以存取這些資料、存取權限為何、被入侵時有何保護監控措施?」Whitener說。

所有的措施都是風險管理的一環,從事件的開端到緊急應變計畫都是。 「如果你認為你沒有時間去深入了解,那你得問問自己丟掉工作時還會忙嗎?」ISS的Gray說,「最重要的關鍵,就是要有高層C字輩的參與和授權,他們不會忙到沒時間參與,因為這原本就是他們的職責,本來就是應該站在指揮台上,推動整個程序。現在,業務單位與IT單位間的鴻溝漸行漸離,是因為業務單位對IT不夠了解,IT單位應該多花點時間去包裝這些議題,而不只是埋頭苦幹。」
ChoicePoint 公司資料遭竊事件背景說明

MICHAEL S. MIMOSO是Information Security.雜誌資深編輯。若有任何建議可寫信至iseditor@asmag.com。

想要更瞭解ChoicePoint案件的來龍去脈以及緊急事件應變計畫嗎?請參考www.searchsecurity.com/ismag。