拿加州柏克萊大學的資料外洩事件來說,就在去年3月的某一天,恰巧是時機成熟時:一間未上鎖的辦公室,不遠處就是一條羊腸小道,正巧一位學校接待員正在休息,而一台閃亮全新的筆記型電腦就這麼放在桌上。
那是一台IBM的ThinkPad筆記型電腦,才用了一天,裡頭記載著全校9萬8千名畢業生的社會安全碼以及其他個人資料,另外,還有一些畢業生資料和醫療記錄在裡面。巧的是,正有一個校友分析紀錄在處理著,部份資料甚至長達30年之久。這種情況對身分竊賊而言,還可真是一個挖寶的大好時機啊!
唯獨此賊並不是很老練的傢伙,不過當時絕對是個最佳的犯罪契機。這名竊賊應該是專偷筆記型電腦和其他電腦設備的,並且偷拔硬碟,還拿到eBay上去賣。最後,這台筆記型電腦透過買家才被找了回來!而加州柏克萊的官方說法是,不認為資料有被動到過!
是好運還是僥倖呢?準副校長並身兼執行長的Shelton Waggener對校園政策相當熟稔,也了解到要改變學校制度,還有找尋資訊安全基金的挹注是有困難的。而本起筆記型電腦的竊賊可是加州柏克萊在5個月內所發生的第二起案件-早在2004年10月份時,駭客趁著大家參加家居服務的時間,攻破了含有帳戶資料的資料庫,造成超過一百萬筆的檔案外流。但那件事只是一台無名的伺服器遭一名的駭客所攻擊而已,如果對照被偷的筆記型電腦,那情況就有所不同了!這種真實情況是,或許相似的竊案也會再次上演在任何可將資料帶進柏克萊學校辦公室的人身上。
「過去也許是執行長所要煩惱的事,但現在可真正成為一個校園問題了!」Waggener說,「整件事情最後雖歸為個人責任,可是實際上,卻是處理程序上的重大瑕疵。」
程序是處理上的一個操作過程。自筆記型電腦竊賊事件過後的13個月內,資安已被列為安全稽核的要點項目,在政策提升和訓練上,也將視為可能發生的事件。至於資金的籌措依舊是困難之處,但是起碼在安全認知上已有所提昇,並且資料安全也被視為是最重要的部份,另外,還有資安資源的取得仍是迫切需要的。
「投資安全真的就像是在買保險。你也許會問,到底我要投資多少精力才能將安全事件發生的可能性降低?」,Waggener繼續說,「對於防止隨時都在變化的事情,難道你付得起這個代價嗎?也許這不是令人覺得爽快的投資生意。要是努力過了,可是事情依舊是發生在我們所無法企及的範圍內,其實不是指我們不知道要如何去保護所有的筆記型電腦,而是那得付出極高的代價才辦得到!」
像是在眾多的安全組識,Waggener會著眼在較高風險的領域裡;不過,此次的筆記型電腦竊賊事件所引起的高度關注,Waggener的確得再重新檢視這種狀況。
外部的安全稽查員常常被聘請來評估資料外洩的風險,所以他們決定出來的資安政策強度和執行面,往往是依照某個單位的財力和技術而來;不過,要是處於分散式環境的情況底下,這件事情是會變得更加地棘手!
要建立最佳的稽核方式,內部安全專家所形成的小組要在各處室進行駐點查核(spot-audits),並幫忙給予建議跟指導。這是一個相當創新的方式,而且不花你一毛錢。
短期的訓練課程可以指導現行的員工和新進人員,有關對校園資料的責任,還有宣導目前學校發展當中的安全政策。另外,新生總是要經歷一場資訊安全的新生訓練,並且針對使用的個人電腦和筆記型電腦,也都將配有免費的掃毒軟體。此外,集中式的掃描工具會監控在加州柏克萊校園當中的電腦,看是否有任何弱點?還有系統是否有修補或升級的需要?
「將敏感資料進行加密也是我們所要優先處理的,並且,在柏克萊校區中,如果電腦被判定為是系統層級的,其中的機密資料無論是目前被使用或暫無人使用,也都通通要進行無線訊號以及資料庫的加密處理。部份加密方式也已經實施,像是列印文件從來源處傳到印表機的過程,就要進行加密。」
Waggener說:「重點就是將安全集中管理。」
「我們也即將在校園當中,推行可自動安裝加密程式的下載站台,並且要讓它很容易使用!」,Waggener又說,「我們對於加密資料的需求,固然有一套政策和標準在,但是,倘若不能讓這些事情變得容易操作的話,那麼,也就不會有人願意去遵從和使用了。」