數(shù)據(jù)泄露從來不是什么好事兒����,但即便有最佳防御操作�,該發(fā)生的還是會發(fā)生�。一旦泄露事件發(fā)生��,我們需要考慮的是該如何恰當處理�。
此前,T-Mobile給用戶發(fā)了一封短信:“T-Mobile
MSG:您好��,我們識別并阻止了對您信息的未授權捕獲�����。沒有財務信息�����、身份證號被盜走�,但一些個人信息或許有所泄露?!辈⒃诙绦胖懈搅艘粋€通往T-Mobile安全聲明的鏈接(https://www.t-mobile.com/customers/6305378821),聲明中所說內(nèi)容與短信基本相同����。
遭受數(shù)據(jù)泄露固然不是什么好事兒,但越深入分析整個事件��,就難免會越感謝T-Mobile發(fā)出的這條警告��。原因正在于,T-Mobile干了件似乎永遠不會發(fā)生的事�����。簡言之�����,T-Mobile發(fā)現(xiàn)了入侵���,阻止了數(shù)據(jù)泄露���,然后立即通知了客戶。
T-Mobile至今對如何抓獲該黑客的情況守口如瓶�,但很明顯,該公司有一套很有效的入侵檢測機制�。而且,這家公司也有能力在發(fā)現(xiàn)入侵者后將之踢出公司系統(tǒng)��,這一點不是每家公司都能做到的�。
T-Mobile發(fā)言人表示已沒有進一步的威脅,但未就黑客身份做進一步的解釋�,也沒有詳細描述該公司是怎么響應這次數(shù)據(jù)泄露的。
致電T-Mobile客服熱線打聽數(shù)據(jù)泄露詳細情況的結果是,該公司幾乎即時修復了相關安全問題����,客戶只有姓名和郵編被盜走了����。
收到T-Mobile通告泄露事件的短信后,一大堆警告有關嚴重后果的郵件幾乎淹沒了用戶郵箱�。這些郵件來自自稱能緩解該數(shù)據(jù)泄露,保護客戶數(shù)據(jù)����,或者推銷客戶根本不需要的一些付費服務的公司。
但因為泄露的破壞性很小��,被盜信息也基本上是公開的�����,所以受影響客戶基本沒什么安全風險���。
數(shù)據(jù)泄露值得汲取的兩個經(jīng)驗教訓:
1. 所謂的幫助�����,尤其是那些數(shù)據(jù)泄露聲明放出后不久發(fā)來的�,基本上沒什么用。
用戶郵箱中收到的各式各樣幫助郵件��,通常來自于除了高價通用建議以外并沒有什么有用措施可以提供的公司�����。
2. 數(shù)據(jù)泄露并非全都影響甚廣�����,也有沒人遭受侵害�����,且各方都負責任地加以處理的情況���。
T-Mobile案例中��,母公司德國電信位于歐洲�����,所以要遵守GDPR有關數(shù)據(jù)泄露的要求����。
雖然歐洲半數(shù)國家及聯(lián)邦政府都有及時向公眾或股東報告數(shù)據(jù)泄露的要求,GDPR是嚴格規(guī)定了數(shù)據(jù)泄露事件必須在72小時內(nèi)報告當局��,T-Mobile遵守了該要求�����。
GDPR還要求數(shù)據(jù)泄露的主體��,本案例中也就是客戶��,要接到“沒有不當延遲”的通知�����。T-Mobile通過向每一位受影響人士發(fā)送短信通知做到了這一點�。
雖然T-Mobile美國是否受GDPR管轄尚未明確��,其母公司肯定是要遵從GDPR的�����,而T-Mobile美國公司顯然遵守了那些規(guī)則���。該公司還宣稱已經(jīng)修復了導致泄露的問題���。
該案例明顯昭示出歐盟GDPR規(guī)則影響到美國移動服務提供商時會發(fā)生的情況:公司執(zhí)行了自己本應遵守的合規(guī)操作��。
還有一點:T-Mobile表現(xiàn)出了在規(guī)定時間內(nèi)檢測數(shù)據(jù)泄露�、修復漏洞并通知受影響客戶的能力�。GDPR在今年5月25日生效后,公司企業(yè)冒出的難以遵從快速響應要求的抱怨����,相比之下,顯得毫無道理����。
如何規(guī)劃處理不可避免的安全事件呢?
1.
可靠的安全監(jiān)視顯然應該納入計劃之中�����,入侵檢測系統(tǒng)也應作為安全組合拳中的一環(huán)�。另外,還需具備事件發(fā)生時的客戶通告計劃����,包括公司做了什么�����,以及公司打算怎么預防類似事件����。
2.
最好的規(guī)劃起點��,就是假設公司邊界會被(可能已經(jīng)被)突破�。問問自己����,進入公司內(nèi)部的攻擊者能找到什么?會怎么找到這些東西?如果客戶記錄之類的東西能被入侵者在突破防線后輕易找到,那你要么換個地方放��,要么至少通過散列或加密的方法讓這些數(shù)據(jù)不那么直白可讀�。
3.
問問自己,攻擊者會怎么將數(shù)據(jù)從你的網(wǎng)絡中運出去?你有辦法檢測未授權系統(tǒng)的大文件傳輸嗎?黑客常會將數(shù)據(jù)隱藏在內(nèi)部網(wǎng)絡的某個地方��,直到找到機會滲漏出去����。只要知道該到什么地方查找,你就能阻止數(shù)據(jù)滲漏���。
4.
最重要的是���,要知道你可以阻止數(shù)據(jù)泄露�,不用理會那些解釋自己為什么無法阻止的借口���。借口不能防止泄露���,但一些主動作為,結合上恰當?shù)挠媱?���,可以阻止?shù)據(jù)泄露傷害公司的信譽和盈利。
