觀點

抓到重點才能達到資安規範目的

2009 / 01 / 13
iseditor
抓到重點才能達到資安規範目的

數據資料庫公司Choice Point讓資料安全議題成為華爾街期刊的首頁,還帶進公司董事會,以及喚醒美國民眾對資安的意識。

根據Choice Point的資訊安全長Rich Baich的抗議聲明,他表示,Choice Point是遭受詐騙的被害人,整起事件並非駭客入侵而產生,現在聽起來幾乎是老掉牙。
「這並不是資安問題。」在2005年初,Choice Point 坦承有超過16.3萬筆的客戶資料遭人竊取後,Baich立即對Information Security表示公司的立場。「我最擔憂的是,對產業最大的影響,在於業界的人一定會用主觀的角度來看這起事件,並且認定這是一起駭客入侵資安事件。但根本不是這回事。這是一起天天都會發生的詐騙行為。」
實際上,這起事件凸顯了敏感資料的弱點-暴露在多重攻擊媒介之下,從傳統的駭客攻擊,到內部被授權進行資料管理的人員,到各種竊賊—像是詐騙Choice Point資料的騙子等等。他們裝扮的像是循規蹈矩的商業客戶,並且依照程序設定帳號,以獲取Choice Point通常會賣給保險或信用公司的各類相關資訊。
這種資料遭竊或出現管理缺口的資安事件,Choice Point並不是第一個,也不是有史以來最慘的。但這次遭竊的資料數量實在是太龐大,也促使不計其數的公司決定採取必要措施,以避免遭受到Choice Point同樣悲慘、並且在社會大眾前顏面盡失的慘痛經驗。這個慘痛的經驗,讓Choice Point在對加州州政府說明報告遭竊事件過程後,他們除了必須向政府付出1,000萬美金的罰鍰,還得賠償遭受損失的客戶500萬美金,才能將事件平息。同時,Choice Point的高階主管們在面對國會議員的火線質詢前,還被董事會的董事們狠狠的嚴厲斥責教訓了一頓。
「這個訊息對Choice Point和其他組單位織應該是相當清楚的:消費者的個人隱私資料必須要受到保護,避免遭到竊取。」美國聯邦交易委員會主席FTC Deborah Platt Majoras於事件發生後,在一項聲明中特別表達了政府的立場。「數據資料的安全問題對消費者來說至關重要,並且,保護數據資料的安全,也是美國聯邦交易委員會的優先任務,同時,這個任務也是全美國人的責任。』
但是,要保護這些至關重要的資訊,以避免遭受詐騙竊取的任務,對資料擁有者來說,仍然有一段相當長的路要走,市場研究公司Gartner的分析師Avivah Litan 如是表示。
「數據資料遭到破壞還是不斷發生。』Litan表示。自從Choice Point的資料遭到入侵後,陸續有超過2.15億筆的個人資料記錄遺失,而這些全都涉及Choice Point的責任。因為許多公司,像是美國大型折扣零售集團TJX、Gap服裝公司、人力銀行網站Monster.com以及TD Ameritrade,都在發生事件的這年內,陸續加入Choice Point的數據庫管理系統、美國退伍軍人事務服務部以及其他類似單位,但因為資料安全事件而讓他們成為了資安工作的不良示範。

SB 1386法案
Litan表示,如果說有任何的正面影響在資料代管產業內發生,這並不會因為是Choice Point在管理上的疏失而讓大家加以警覺,而是應該歸功於加州的資料隱私法案(The California Security Breach Information Act, SB 1386),這項法案強制要求資料擁有機構,在資料遭到疑似不當公開、破壞、或者被公開時,必須有義務告知受害的客戶。任何一個在加州有商業行為的公司,都必須清楚知道他們是在資料隱私法的監管之下。在資料隱私法SB 1386之前,美國其他各州也都有資料隱私通報法,有少數的公司在資料遭到破壞或遺失時,曾被強迫告知客戶處理狀況。
Litan表示,當法律對個人的可識別資訊的正確性進行保護時,卻沒有對這些疏於保護自己以及消費者的公司祭出嚴厲的懲罰,以有效對抗詐騙的行為。
「我並不認為法律規範是一切問題的答案,』Litan說道,「但是它的嚴懲法條會讓資料代管公司面對現實而做出改變。』
企業和美國政府機構—這些也同樣擁有成千上萬筆消費者文件資料的單位,都有特別地採取防護措施以防制身份竊賊。提供消費產品與服務的企業,好比Target與eBay,則是對於這篇文章討論的資料隱私方向,拒絕接受我們的訪問。
Litan表示,要說服資訊安全長們認清他們必須做出更多努力,以說服他們的潛在客戶心安是相當困難的。
「資料代管商只會對客戶說『是』,因為這樣才會讓他們賺到錢。』她表示。

真正的企業重創?
如果資料遭受侵害的狂潮不會消退,這些企業可能得認份地面對災情慘重損害的懲罰。在這一年間,TJX集團除了向大眾說明他們花上了2.5億美金在資料遭到侵害的善後工作上、還因為遭受到駭客入侵,造成超過4,500萬筆的客戶資料包括信用卡卡號資訊遭到外洩,其零售商還得必須面對集體訴訟。根據隱私權資料中心的報告,在該年9月間,TJX宣佈提供受害者的賠償辦法,該賠償內容針對4,500萬名資料遭到侵害者中的45.5萬名客戶,因其身份有遭受侵害盜用危機,而給予信用監督管理服務。這項賠償辦法還包括了針對因這起事件而被迫更換駕照者提供金額賠償,同時以贈送該公司商品禮券賠償客戶在時間和金錢上的損失。
根據安全諮詢機構波耐蒙研究所Ponemon Institute的估計,在2006年間,這些出現資料外洩資安問題的公司,必須對每一筆遭到侵害外洩的遺失資料,最高付出美金 182元的費用,其中包括說明外洩問題以及處理、賠償和法律等費用的加總。然而,零售業巨頭TJX因為資料外洩所付出的代價與對公司的傷害,恐怕還不止於每筆資料賠償金所有加起來總額。其中包括了品牌形象的受創,以及企業的商譽損害,都是無法用金錢來計算的。但是,在2007年7月間的Information Security的相關文章中,顯示出TJX的股價在整起駭客入侵事件危機中,還是維持平穩的表現。而其他同樣有資料外洩事件的公司,例如波音和美國銀行,事實上,他們的股價還在外洩事件危機期間繼續上漲。
美國 Darwin Professional Underwriter 機構的技術與資訊可信度創制單位,其首席承銷Adam Sills表示,TJX和其他有相同遭遇的公司,應該必須承擔第三方的連帶損失,好比說像是信用卡和信貸卡的發卡銀行的換卡成本,都必須一併地被零售商吸收。
「個人隱私的可信度範圍雖然難以評估,但卻是資安工作的關鍵要素,」他表示。「這一部份,可能最後會讓你的公司面對極高的代價和付出難以數計的成本。雖然TJX的的法律訴訟金額好像還沒有像恩隆案來的大,但是我覺得他們後續還要付出的成本和損失,恐怕會像黑洞一般難以見底。』

資料表:資安產業不名譽事件簿

十大數據資料侵害事件

根據隱私權資料中心報告,在Choice Point20052月公布其資料遭侵害外洩事件後,在超過一億六千起百萬的數據記錄中,存有敏感客戶資料陸續發生遺失或遭竊。在所列表中,根據資料記錄遺失的數量,列出了十項近年來最嚴重的數據資料侵害事件。

日期

組織機構

侵害類型

資料記錄數量

2007117

 

折扣零售TJX集團

駭客入侵

4,570萬筆

2005616

信用卡記帳事務處理公司

Card Systems

駭客入侵

4,000萬筆

2006522

美國退伍軍人事務服務部

筆記型電腦以及電腦儲存設備遭竊

2,860萬筆

20077 3

Fidelity National Information Services - Certegy Check Services

Certegy員工涉嫌偷竊資料

850萬筆

20056 6,

花旗銀行理財事業處

遺失備份資料帶

390萬筆

2007410

喬治亞洲社區衛生部

外包商遺失電腦磁片

290萬筆

20069 7,

信用卡服務公司Chase Card Services與家電零售商電路城Circuit City 

5個電腦數據資料磁帶誤被當作垃圾丟棄

260萬筆

2006530,

Texas Guaranteed Student Loan的承包商  Hummingbird

設備遺失

170萬筆

200538

DSW 連鎖商

駭客入侵

140萬筆

200611 2

科羅拉多州衛生保健服務部  與外包商Affiliated Computer Services

桌上型電腦遭竊

140萬筆

 

資料來源:隱私權資料中心數據資料妨害事件年表。

Mark Baard是資訊安全雜誌的自由撰稿人。