关于身份盗窃的警告越来越多,这很好理解:这样一来,有太多关于个人的信息面临被窃的危险。
安全咨询企业@stake的策略解决方案主管Samir Kapuria解释说:“目前人们的生活正越来越多的依赖于数字方式的信息或者事务处理,这其中也包含了很多的敏感信息。”
“因此,滥用的潜在危险也在日益增长。”
安全咨询企业netSurity的CTO Phil Cracknell同意随着数据库的使用扩展,有更多的信息源面临泄密的危险。
“身份盗窃在不断增多,因为机会在增多,”他表示。“社会并不是突然之间变得邪恶起来的,更多的罪犯也不是一夜之间涌现的。”
“只不过人们现在这样做更加容易了。当你发现甚至不用离开家就可以这样做,你就很有可能会这样做了。”
另一个使这种情况更加复杂的因素是越来越多的公司允许客户进行电子化的交易,而不用亲自到营业场所来,这就更加加重了这种危险的程度,因为想要辨认对方变得越来越困难。
Kapuria表示目前这种状况并没有因为海外外包而改善。这意味着敏感数据可能会从第三方组织提供接入,或者数据可能会需要存储在其他国家,而那些国家对数据的法律保护可能会比英国薄弱。
“你不能够将这些需求或者风险外包,你被要求要保护你的客户的身份信息,虽然这些信息可能保存在第三方那里。”他表示。
“这是付出辛劳同保护数据风险的交易,并且能够为企业带来潜在的费用节省,这取决于企业所采取的策略。”
所以ID盗窃作为一种正在快速增长的犯罪已经非常严重了。而且,Consult Hyperion 的一位总监Dave Birch警告说,这种犯罪还能够破坏人们对于数字经济的信心。
很难说身份盗窃究竟为英国的上市公司造成了多少损失,因为很多公司害怕损害他们的品牌形象和公司声誉,不愿意承认他们曾经遭到身份盗窃的伤害。
一家大型信用卡公司表示,盗用信用卡的行为每年为他们造成的损失高达100亿英镑,而且Birch还指出,每盗用1英镑,就会使公司为了清理盗用所造成的混乱,在补偿客户和内部管理费用上花掉另外50英镑。
那么身份盗窃通常的举动是什么呢?哪些机构的风险最大?
Cracknell认为,绝大部分身份盗窃的行为都是天性的流露,他们的目标只是了解一些诸如老板或者员工在电子邮件里写了些什么之类的信息,或者偷偷浏览内部文件,以了解其他同事的工资等等。
这种行为通常是由于在工作场合没有保护好密码所致,同事之间可以很容易在对方输入密码的时候记住它,也有可能在便条纸上发现写下来的密码,或者甚至更简单,仅仅凭猜测,就猜中了对方的密码。
但是,Kapuria认为外部攻击目标可以大体分为三类:有选择的目标,机会目标和中间目标。
有选择攻击的目标通常会选择金融服务机构,特别是银行,因为那里有大量的个人身份信息,而且会带来金钱上的收益。
但是,这些机构对于技艺平平的窃贼来说,却不是那么有吸引力了,因为这些机构通常都使用了成熟完善的程序和技术来预防此类事件的发生。
而机会目标则使用普遍撒网的方式。
在这种情况下,窃贼们会随意选择一些目标,然后大量地发送电子邮件,比如说,这些电子邮件可能看起来会来自某个知名的银行,他们要求收件人登陆一个网站,更新自己的信用卡详细信息或者其他类似的。
“这种攻击的目标是比较低阶层的人,文化程度比较低的用户。” Kapuria表示。
“对抗这种犯罪需要教育不同社会阶层、不同教育背景的用户,但是他们的面铺得太宽,只要有一两个用户上当,他们就会有所收益。”
针对另一类目标的攻击正在呈增长趋势,这种攻击针对的是一些较小的公司,他们对自身的保护也不如大公司那样强有力,它们很有可能成为那些随意攻击的牺牲品。
“绝大部分的二线公司都没有足够的安全防护、监测和响应能力,他们有时候甚至都意识不到自己已经成为获取身份信息的工具。” Kapuria表示。
“他们没有注意到发生在他们网页上的变化,也不清楚是如何处理执行的,因为窃取文件并不会对他们的技术操作有影响。”
但是无知和不作为不能够作为应对法律的理由。Charlotte Walker-Osborn是Eversheds法律顾问,他认为企业应该对于保护个人信息负有责任,企业应该采用适当的保护方式,并遵守诸如Data Protection and Consumer Credit Acts等法律和诸如Turnbull等规范。
不能够证明自己有能力履行这种义务则会被认为是疏忽,而且因此会被认为是不可靠。
如果来看看企业有什么武器的话,很不幸,确实很少。
这是因为身份盗窃是一种比较新的法律概念,而尚未有专门针对于此的法律出台。
目前,如果一个身份窃贼被抓住了,他就有可能被按照1968年所定义的盗窃行为被定罪,但是必须能够证明这个人确实获得金钱上收益,而有的时候很难证明这一点。
另一个可能的罪行是共谋欺诈,但是这样做仍然有问题,因为身份盗窃通常是自己作案的,而共谋则要两个或者以上的人共同参与。
为了弥补这个漏洞,英国内政部正在考虑对身份证议案的立法。
该法律的目的是惩罚那些非法获得文件或者制造或利用计算机进行犯罪的行为。
根据这个提案,这类罪犯可能被判两年监禁,或罚款,也可以二者并罚。立法委员会仍然在努力使该提案在国会获得通过,预计它会比身份证更快获得通过,大约将于明年年底颁布成为正式法律。
大公司为了身份盗窃付出的代价
英国最大的公司之中,有1/5承认遭遇过由于身份窃贼引起的安全问题,所造成的损失比病毒造成的损失更为严重。
根据英国工业和贸易部2004年信息安全问题调查结果显示,这类攻击占到15%,造成的损失大约100,000英镑,破坏企业正常运作达1个月之久。
PwC提供的这份报告表明,这些犯罪行为之所以能够得手是因为‘(企业的)身份管理安全性过于薄弱,’,他还强调了诸如令牌、智能卡和生物特征测定等方法在对抗此类攻击中的价值。
目前只有6%的企业(大部分都是大型企业)目前在使用这类系统。调查发现他们中只有3%的企业被击中。
“如果你是在一家大公司工作,那么花在认证技术上的投资绝对是物有所值。” Rhodri Davies这样认为,他是Vistorm安全技术负责人。
“但是随着安全预算的增长,也有可能推动对于这类技术的采用。”
Chris Potter是PwC合伙人之一,也是他负责了这次调查,他表示:“这是认证系统所带来益处的证明。”
企业应该做些什么来保护自己呢?
企业有很多种选择来保护自己不受身份盗窃的危害,但是重要的是要明白任何行动都必须符合公司的实际情况。
@stake的Kapuria解释道:“每一个公司都有自己使用敏感个人信息的方式,所以保护的方法也应该是因情况的不同而变化的。”
因此,当一位IT总监开始考虑如何解决这个问题时,他所需要做的第一件事情能够就是理解这种风险,以及在企业数据的整个生命周期中,因为这种风险所可能带来的冲击。风险存在于各个环节:创建、传递、查看、存储以及最后的销毁。
“针对每个生命周期中的环节,你应该根据企业对于风险的忍受程度、安全漏洞以及可能的攻击类型建立防护。” Kapuria表示。
“在有些情况下,身份保护是受到规则的约束的,但是在另一些情况中,你可能会说你能够接受一定程度的风险,比如说海外外包,因为这样做能够带来其他的一些好处。”
有问题的架构会危及到策略,流程,意识计划和管理技术(比如管理接入、认证和授权),只有将安全规则贯彻到整个企业才能够起到防护的作用。
NetSecurity的Cracknell同意这一观点。“你必须设想过所有可能发生的滥用的情况,并且通过人工操作使它变的易于管理。”他表示。
但是他也指出安全性是每一个人的事,必须让内部员工、外部的客户,供应商和合作伙伴都明白他们自己的责任,哪怕仅仅是一些简单的责任,比如确保他们的密码不会落入不恰当的人之手。
对于员工,起码要对他们进行培训,让他们明白必须遵守安全规则,否则如果出现滥用的情况,在造成严重后果的情况下,公司甚至可能提起诉讼。
Cracknell认为在虚拟世界里提供产品或服务时应该避免全部依赖在线登记,因为电子角色很难被真正地确证。
“想方设法地增加确认的可靠程度,然后进行监控和审查。例如,每一次当用户登陆时,都让他们核对上次他们这样做的时间或数据是否可疑,因为对于在线用户来说,保持匿名状态是非常容易的事情。”他建议。
最后,企业如果想在最坏的情况发生的时候,保护自己免受法律责任,就必须要能够提供证据表明他们已经尽全力保护那些身份信息,哪怕他们并没有成功。
Eversheds Walker-Osborn表示:“如果你已经采用了最佳方法而且采取了适当的安全防护措施,你就能够摊开双手,坦然地说‘我已经尽全力了’ 。”
“如果你能够证明自己已经尽了全力,信息委员会(Information Commissioner)就很难判你有罪。”
IT安全支出的趋势
一家市场调查公司认为,在未来的两年中,投入在安全相关技术方面的资金会逐步增加,在全球2000强企业中,平均安全投资会占到全部IT预算的5%到8%。
Meta Group在一份关于信息安全支出的报告中指出,目前信息安全支出只占整个IT预算的3%到4%。
这一数字在达到一个更高的、相对稳定的比例之前,将保持每年8%到10%的增长速度到2006年。
Meta建议企业寻求行业内的最佳方法以决定自己应该在IT预算中拨出多少比例投资在数据安全上。
总的说来,在这一比例在小公司里应该比在大公司里要高一些。
美国企业的支出比例增长(大约10%的年增长率)会超过欧洲企业(大约5%到7%的年增长率),M |
