数据泄露问责：高管难逃

发布时间:2012-02-08 11:05 作者:布莱恩·克雷布斯来源:《麻省理工科技创业》点击:加载中...次

最近，大公司在信息安全方面铸成大错，致使大量的业务信息和客户记录泄露。数据安全问题警钟长鸣，为何仍有众多企业未能妥善处理？美国普渡大学（Purdue University）计算机科学系教授尤金·斯帕福德(Eugene H. Spafford)在这方面很有见解，他经常给政府、执法部门以及大公司一些建议。麻省理工科技创业（MIT technology review）杂志的科技记者布莱恩·克雷布斯(Brian Krebs)就此采访了斯帕福德。

麻省理工科技创业：索尼公司对游戏机网络(PlayStation network ，PSN) 的漏洞警示未引起重视，导致了索尼数据泄露事件，最近你出席了此次事件的听证会。请问为什么技术先进的索尼公司在安全方面会受到如此大规模的破坏？

斯帕福德：一些企业的管理层根本就没有严格意义上的信息安全部门，信息安全工作往往隶属于公司首席信息官(CIO)的职权范围。当出现安全问题时，负责处理安全事件的工作人员将全权处理，而且他们无法接触到首席执行官或者公司董事会。因此，公司信息安全功能系统得不到资助，而且没有足够高级的权利确保安全工作的切实运作。由于IT机构成员大多是从机构基层的网站管理者中成长起来的，他们一般只掌握着计算机科学知识以及专业技术训练，而不擅长谈及业务，对于风险和成本效益分析并不是非常了解。因此，他们很难提供安全和隐私方面的商业案例。我们最近了解到，缺少首席信息安全官(CISO)的索尼公司在遭受的攻击中可能已造成了100多万客户的个人信息和交易数据的泄露。

麻省理工科技创业：那有证据能说明信息数据的泄露是由于索尼缺少首席信息安全官而促成的吗？或者说，真的可以只通过加大安全方面投入并添加额外的管理机构的方法来解决数据泄露问题吗？

斯帕福德：首席信息安全官并不完全是重复别人的工作。其实，首席信息官和首席信息安全官的设置之间是有一些冲突的。首席信息官的工作是提供可用信息资料，而首席信息安全官的职责是确定资料的不可用性，比如说限定信息使用的范围，设定能够访问这些信息的权限和规定，并且最终制定违反规则后的处理措施和处罚。

关于第二个问题，企业有很多的工作需要去做，要在本质上没有明显收益的业务上投入大量财力，包括建筑物及场地的维持、均等机会以及反歧视培训。这与网络安全技术策略相似：如果不投入足够的经费来维持运作，在某个时刻就会发生安全问题，你会发现为解决危机付出的财力要比主动积极的措施要多得多。安全防护责任在于，机构内部的信息灵通方应了解风险，并在针对最昂贵的风险建立防御之前合理地规划投资，同时制定安全受到威胁时的应急措施。这些已成为整体业务规划的一部分，不过企业的高层管理者对此应有足够的理解。

麻省理工科技创业：索尼事件并非是反常现象，几乎每天都有遭受攻击而使得消费者信息泄露的事件发生，为什么会这样？

斯帕福德：这一现象不是由于某一个因素引起的，而是由一系列的原因综合造成的。网络上可用的数据和网站前所未有地增多。上网冲浪的人和网络专家也迅速增长，因此，可被攻击的目标数量越来越庞大，觊觎这些目标的人也在不断增加。与此同时，窃取数据案件发生的速度远超过了执法资源和我们处理这类问题的能力的增长速度。而且此类犯罪极具隐蔽性，这些都使得犯罪分子较少感觉到威慑力而更加胆大妄为。最终，这些人将会对更大的目标下手。

麻省理工科技创业：那么，索尼并不完全是传统意义上的目标，对吗？为什么那么多的非金融机构遭受到攻击呢？

斯帕福德：现在让我们来看看价值到底体现在哪里。最近上市的LinkedIn公司就是一个很好的例子。为什么他们的股票价格会在上市的几个小时内翻番？这是由于公司拥有用户的所有信息以及他们直接或间接提供的关于自己的习惯，同理， Facebook如今身价数百亿美元：其信息可以被挖掘、整合以及用于营销目的。这些都是非常有价值的信息。

麻省理工科技创业：这意味着无论消费者使用哪种服务，他们都要冒着信息资料被破坏或被泄露的风险？

斯帕福德：个人信息并不是我们自己所能够控制的，在大多数情况下，我们并不知道这些信息会溜到何处，很多人都认同这一说法。以电子邮件营销公司Epsilon最近的泄漏事件为例：数据泄露发生前，有多少受此事影响的消费者听说过Epsilon？同时，信息数据采集机构对数据的管理意识还很淡薄。此外，对于提供软件即服务(software-as-a-service,Saas)的公司的数据泄露影响可能会更加严重。当公用型平台或基础设施的漏洞和薄弱环节遭受破坏后，将会带来一连串的连锁反应。就像当较小的公司发生数据泄漏后，可能会影响到数十个其他公司，因为这些公司都依赖它所提供外包数据服务。我相信，这类事件将会越来越多。

麻省理工科技创业：你已经戳到了当前的痛处——概念模糊的IT业术语“云计算”（cloud computing）。你认为，数据外包给第三方的念头会在任何时候因出于安全考虑而迅速减弱吗？

斯帕福德：我认为在将来的三至五年内，如果技术保持先前已有的方式发展，那么许多公司将意识到由于各种费用和政策原因，云计算并没给他们带来所期望的好处，那时他们还将会把数据移回到数据中心或私有云。

三四十年前，那时我们拥有大量集中管理下的数据中心，那是因为数据中心基础设施投资巨大，一般来说，数据都要受到企业严格控制。后来，我们把数据从数据中心中移至分布式媒体以及大多数机构的台式个人电脑中。我认为上世纪90年代是集中管理控制计算机系统的最低点。那时，公司们正逐渐意识到对自己的数据——特别是大型的共享数据库——拥有更多控制权的重要性。如今我们将会退回到那时的状态。

(责任编辑：)