1. 落實一項到位的信息安全計劃。
據身份竊取資源中心(Identity Theft Resource Center)最近所作的一項調查顯示,2011年的數據泄密事件中絕大多數是由黑客引起的;而在2012年的頭一個月,新的泄密事件似乎多半也是由黑客引起的。
2. 實施強密碼機制。
本月初早些時候,神出鬼沒的黑客團伙TeaMp0isoN將一份清單上傳到了Pastebin網站,這份清單里面有大約80名T-Mobile雇員
的用戶名、密碼、電子郵件地址、電話號碼和密碼。值得關注的是,許多T-Mobile員工的密碼只是簡單的“112112”或“pass”——如果說它們
還算是真正的密碼的話。在發到Pastebin的帖子中,TeaMp0isoN毫不留情地指出密碼顯然缺乏多樣性。據說該團伙與國際黑客組織
Anonymous共同策劃了近期一場名為羅賓漢行動(Operation Robin
Hood)的活動,入侵眾多信用卡帳戶,將非法所得錢款捐給了需要的個人或組織。“看一看這些密碼吧,真的太失敗了。所有密碼都通過一名管理員,手動發給
了員工,而這名管理員使用一組同樣的密碼。”
3. 隱藏泄密事件,后果自負。
賽門鐵克本月初證實,本月早些時候黑客泄露諾頓軟件源代碼,確有其事。但是賽門鐵克對這起事件作了低調處理,聲稱來自其兩款舊產
品:Endpoint Protection 11.0和Antivirus
10.2的代碼是由于第三方而被竊取的。換句話說:這是舊代碼,沒什么看頭,大家不必理會。
據路透社報道,可是僅僅過了兩周后,賽門鐵克就坦白承認:旗艦產品諾頓軟件的代碼早在2006年就被竊取了。這就加大了這種可能性:早在那時擁有諾頓源代碼的任何人都也許找到了方法,利用賽門鐵克的安全軟件來危及用戶的機器。
4. 慎重評估通知泄密事件的速度。
企業發現泄密事件后,必須處理好以下兩個方面的關系:一個是需要盡快收集大量信息,另一個是及時發布內容明確的通告。Ted
Kobus是美國貝克豪思律師事務所(Baker
Hostetler)的隱私、安全和社交媒體團隊全國負責人之一,他在博文中表示:“確保透明是與客戶和監管部門保持暢通關系的關鍵;務必要確信你事先已
明白泄密事件的影響范圍,然后再公布也不遲。”
5. 事先要料到數據可能會泄密。
為什么不為這種最糟糕的情況作好計劃:貴公司存儲的所有數據都泄密了。如果這樣,接下來會發生什么?怎樣才能最有效地預防這種情況?知名調研機構加
特納集團的調研主任Lawrence
Pingree在接受采訪時說:“說到安全,沒有什么靈丹妙藥;所以你需要為難免會發生的數據泄密作好計劃。泄密后如何應對將至關重要,而不是僅僅通過法
律賠償和信用監控來彌補。大多數公司在這些數據泄密事件過后提供信用監控服務,但是這些服務大多數只持續一兩年,誰說數據會在一兩年內消失?”
6. 加密所有敏感數據。
如果泄密的數據之前經過了加密,數據泄密通知法律準許公司企業可以不必發布通告。因而,只要有可能,就要加密所有傳輸中的數據以及靜態數據。貝克豪思律師事務所的Kobus說:“加密不僅僅是一項安全手段,還是客戶和監管部門認為應該具備的手段。”
7. 讓你自己的數據過期作廢。
如果失竊的數據沒有失效日期,那么公司就要自行刪除自己的數據。去年黑客竊取了過時的客戶信息后,加拿大本田公司和索尼都遭了殃,因為這兩家公司都
沒有及時刪除這些信息。豐田公司的泄密事件似乎致使該公司違反了加拿大的隱私法;該國隱私法要求公司刪除不再需要的任何個人信息。不過,大概所有公司都應
當遵循這個做法。
8. 提防社會工程學會伎倆。
說到竊取敏感數據的成本低、影響力大的花招,攻擊者在社會工程學攻擊這個方面已變得相當老到。Kobus說:“攻擊者想出了新花樣,利用社會工程學
工具非法獲取個人信息。”因而,要不斷培訓處理敏感信息的所有員工,教他們學會檢測和抵制欺騙性的電話和電子郵件,包括魚叉式網絡釣魚(spear-
phishing)攻擊。
9. 要求數據發現服務。
泄密的數據往往最后出現在從黑市信用卡詐騙網站到對等網絡的各個地方。雖然從理論上來說泄密的數據可以清除,但前提是先得找到數據。因而,預計相關
的商品化服務很快就會隨之而來。Pingree說:“將來的策略就是……請服務商追查泄密的數據,并且讓企業客戶了解數據位于何處。”
他說:“連谷歌也可能涉足這種技術。谷歌具有搜索功能,它只要開始分析數據、檢索數據,就能夠比較主機數據和互聯網數據,然后將對等網絡添加到檢索
對象中。”雖然目前市面上還沒有這類服務,但是由于層出不窮的數據泄密事件絲毫沒有停下來的跡象,預計不久會看到這類服務涌現出來。
誠信、專業、高效的十五年本土品牌網絡公關公司
以誠信的態度、專業的策略、高效的執行,維護和提升品牌核心價值
以誠信的態度、專業的策略、高效的執行,維護和提升品牌核心價值
