数据泄漏后CIO应急工作指南

伦敦,2008年12月11日凌晨5:30,黑莓手机的振动声打破了清晨的宁静。没有任何一个CIO愿意在这个时候听到这个声音,因为这意味着坏消息的来临。

首席安全官(CSO)为打扰道歉,但可以明显看出她的激动和不安。她刚刚被招来做数据审计的安全顾问吵醒。小组成员昨天晚上加班,在主要的客户数据库中发现了一些异常的数据。当她结结巴巴地说“这可能没什么”的时候,首席安全官也不能掩饰她的恐慌。但是你们双方都知道,如果她真的是这么想,你们现在也不会这么谈话。

自从HM税收和海关(HMRC)发生安全漏洞至今,许多公司都没能从这些事情中吸取经验教训。在HMRC事件后,信息委员会(ICO)已经通过公开、私密和第三组织公布了将近100个数据漏洞。法律公司BrowneJacobsen的CIOPeterBirley在他的私人CIO博客上说:“数据是许多公司的血液,但却常常没有受到很好的关注。”

虽然公司声称这仅仅影响了一小部分客户,无论真实的数据是怎样的,BestWestern已经承受了损害其品牌的后果。如果其他的公司对安全数据不采取必需的预防性措施,并且对数据泄露的后果不正确处理,那么,他们也会面临一样的恶果。

不要恐慌。“事实证明,一个专业积极的方法比起躲在一个小角落里逃避更能保护你。”财经服务专家社BDOStoyHayward技术咨询机构的主管PeterChada这样说道。

黄金第一小时

专家说,在安全数据泄露发生后的黄金第一小时内做影响及结果的评估至关重要。例如,需要推断出谁会对这些数据感兴趣,在个体和其他方面会带来哪些影响。比如说,在最近监狱服务的突发事件中,如果数据落到了罪犯的手中,那么监狱官员家人的安全就可能面临危险。

GeoffDonson之前是高科技犯罪部的侦探,现在是TelecityGroup数据中心的安全经理,他问道:“你在发现了数据泄露之后的黄金时间会怎么做呢?”

“对我而言,我会明确地想知道是什么数据,因为你会想知道这已经带来了什么间接的损失。如果找回这些数据会有帮助么?大概不会,但当数据的性质决定了谁会对其感兴趣的时候,这也有可能。你会想知道有哪些私人数据包括在内,会不会是姓名、地址、详细的银行账户信息等。”

在第一小时如何作出反应很大程度上取决于你的准备和计划。优秀的公司会早已想到在这种情景下确切地会发生什么,并会提出临时费用,立即做出无差错反应。

“成功管理任何突发事件的关键在于通过已有的和测试的计划确保你始终对任何可能发生的事件做好准备。测试检验的价值实在是太大了。我们劝告公共部门和机密部门的客户:经验在于通过测试,去明显提高计划的质量。”信息安全专家活动组的顾问负责人NeilO'Connor说,“你不会想去在真正的危机发生的第一时间去测试计划。”

最初的12小时

如果你可以确定真正丢失的数据是什么,那么泄露的结果就取决于你的公司是否维护了一个详细精确的数据规划,接下来需要找出谁有可能访问过这些数据,是外部的还是内部的,他们会对这些数据信息作些什么。

“一些与计算机相关的法律问题可能会出现。你当然可以观看日志。”Donson说,“从任何微软Windows操作系统的日志都可以看出谁是最后一个访问这个数据的人。你可以看到此数据是否已被复制,当然也能看出是否已被打印。”

作为IT服务公司Logica的安全管理顾问,DaveMartin认为考虑到最坏的情形并对反应作出相应调整也是很重要的。他说:“在开始调查一个突发事件时,我们必须总是假设最坏的结果,我们可能不得不在法庭上为我们的行为辩护。”

倘若你的公司不仅想为数据泄露起诉,并且可能潜在地面临自身被诉讼风险,那么保存好任何可能的证据都非常重要。“随着一个突发事件严重性的快速升级,公司必须靠‘冷冻体系’来保证证据被保留。保存证据则必须由训练有素的计算机法庭服务人员通过非常特别的设备来处理。”Martin建议。

为了保证数据可以被用于法庭分析并最终被法庭采纳,保证任何计算机和媒介的物理安全,确保“证据的连贯性”至关重要,他解释道,最早采取的方法是物理锁上所有的服务器、计算机或者其他的可能与数据泄露有关的硬件。

除了以上的方法,遏制安全漏洞的新闻的扩散也很重要。Martin说:“只需要将这项调查通知一个或两个人,否则你可能会向一个罪人泄露秘密,那么他可能去毁坏这些证据。”

接下来的24小时

确定了泄露数据,接下来面临的问题就是“这会对公司会带来什么影响,以及谁有可能对此负责,是否需要报告此次事件。”要不要报告源于好几个因素,并不只是取决于什么样的数据泄露。

“在有保密部门的公司,报告的事宜始终是一个问题,因为此事会使客户和股东之间的信任关系会丢掉。另一方面,你有义务去关注它,如果你弄丢了你所持有的一份个人数据,你必须非常迅速地公开它。”TelecityGroup的Donson这样说。他在许多部门,如国家高科技犯罪部、国家犯罪组和计算机犯罪部工作了27年时间,另外在威斯敏斯特大学还教授计算机法学和信息安全。

Donson说在他的经验看来,许多不包括私人数据的数据泄露并没有被报告。他说:“我想有许多数据不是私人的,但也没有去报告。”

然而,法律执行中介显然迫切希望公司报告任何类型的数据泄露——不管是不是受到保护的数据——因为它对数据信息收集流程有极大帮助,Donson这样认为。而且把漏洞报告给警察也不等于它就公开化了。“我们已经签署了反泄露协议,所以我们这样对人们说:‘报告给我们吧,即便你不想采取任何行动。’”Donson说,“如果公司不希望我们采取任何行动,我们是不会行动的。”

City法律公司SpeechlyBirchamLLP的高级财产、技术和商业运营的总管RobertBond说:“这种法律的缺失并不是忽略适时的犯罪管理实践的理由。保险行业的领军人物如Hiscox和AIG都坚持认为,如果商业需要保险,数据丢失政策和程序就是强制性的。”

一个星期之后

在最初的灭火工作结束以后,注意力会不可避免地转向“什么出问题了”。

并不仅仅是疏忽,许多近期的数据泄露事件都源于对员工培训的基本缺失——回顾HMRC事件得出的结论之一。“我们一次又一次地发现员工无能力处理机密文件。这说明不是技术而是人的原因产生了错误。”Firebrand培训的安全总管RichardMillett说道。

除了培训,公司需要思考保证IT安全的其他基本方法,并考虑发展防边缘化。例如Jericho论坛这样的CSO团体所支持的方法基于这样的考虑:不是试图把公司的IT资产都保护起来,而是关注保护最重要的元素。

“防边缘化策略能让我们朝着业务运转的方向适应安全机制,而不是扔出许多条条框框。”渣打银行的信息安全总管兼Jericho论坛成员JohnMeakin说。

然而,所有的专家都一致认为,最好的方法首先是让系统能够防止数据泄露或被窃取。

时间: 2024-11-17 18:01:55

数据泄漏后CIO应急工作指南的相关文章

阿根廷最大社交网站Taringa遭遇大规模数据泄漏,超过2800万用户数据暴露

本文讲的是阿根廷最大社交网站Taringa遭遇大规模数据泄漏,超过2800万用户数据暴露,如果你有Taringa(也被称为"拉丁美洲的Reddit")网站账号,那么请注意,你的账户详细信息可能已经在大规模数据泄漏事件中泄漏出来了,据悉,此次约有超过2800万用户的登录信息受到影响. 关于Taringa Taringa是一个来自阿根廷的社交网站,有西班牙语及葡萄牙语两个版本,其重要流量来自拉美国家及西班牙,诞生于2004年.在Taringa社区,用户只需在线注册一个账户就能在社区发帖分享

突发!32TB Windows 10核心数据泄漏,被人上传至第三方公开网站

本文讲的是突发!32TB Windows 10核心数据泄漏,被人上传至第三方公开网站,据外媒The Register报道,微软Windows操作系统内部大量组件和核心代码泄漏,正在网络上传播. 这些泄漏的数据多达32TB,包括微软未公开发行的安装镜像和软件规划蓝图,被人压缩成8TB的包,在本周稍早时候上传至betaarchive.com.据传这些机密数据是今年3月份左右从微软内部泄漏的. 泄漏数据的代码部分叫"Shared Source Kit",有看过内容的人透露,里边有Window

飓风桑迪:曼哈顿数据中心的灾难应急方案

在曼哈顿下城区,飓风的影响令电梯无法正常工作,Peer 1 Hosting公司的管理员们不得不用大桶为位于18楼的柴油发电机补充燃料.而在新泽西州,SunGard公司则紧急规划燃油车行进路线,避免车辆为洪水所困.   纽约城严阵以待,中心商业区曼哈顿的证券交易所门口摆满了沙袋 灾备规划已经被公认为数据中心运维工作中的最佳实践之一,但飓风桑迪用自己的强大的威力证明,自然灾害一旦出现,管理人员意料之外的情况总会不请自来.在这个时候,固有灾难恢复计划很可能暴露出诸多弊端,这就需要管理者即兴发挥.针对具

winpcap syn-用winpcap发送syn数据包后收不到ack回复

问题描述 用winpcap发送syn数据包后收不到ack回复 用wincap发送syn,这样的帖子网上搜一下一大片,但在我做的过程中发现几个问题:1.tcp报头校验时应该是 伪报头+tcp包头+数据的校验,很多人只是tcp包头+数据的校验,我不知道这些人到底有没有真正写给程序.2.用winpcap发送数据包时需要添加以太网包头,其中包含源/目标主机的mac地址,有些人这儿全写1,有些写的各自的mac地址,但是假如我真的要和远端服务器建立连接时我只能知道它的ip地址,不可能知道mac地址,所以这个

数据中心里的应急关机技术

数据中心需要全年不休地运转,无时无刻都在对外提供各种应用服务.数据中心里有大量的电子设备,也和人一样是需要休息的,不然迟早都会出现这样那样的问题,其中应急关机就是数据中心自我保护的一种方式.显然在关机的前面增加了一个修饰词"应急"和关机的意义就完全不同了,应急关机必然不是关机那样关闭一下按钮或者拔掉电源那么简单.前面也说了数据中心是全年不休地工作,对数据中心内的设备进行关机,需要考虑这样的操作对整个数据中心的业务影响,是否在关机之前做足了准备工作.是否制定了详细的关机预案.是否有回退机

《术以载道——软件过程改进实践指南》—第1章1.2节EPG的工作指南

1.2 EPG的工作指南 EPG是工程过程组(Engineering Process Group)的简写,EPG是企业内的立法机构,负责制定与推广管理规范与过程财富. 1.2.1 EPG成员选择四要素 选择什么样的EPG成员才合适?基于我的所见所闻所思,总结了4个选人的要素. (1)知识 知识是基础的要求,应该具有基本的软件工程知识,而不是白纸一张,这样才能容易沟通,知识可以通过学习来获得,有无知识是相对的:知识可以通过是否学习过哪些课程,接受过哪些培训.读过哪些书籍来衡量. 实践出真知.知识经

如何做好大型数据中心的运维工作?

随着数据中心建设规模的不断扩大,新技术的层出不穷,数据中心变得越来越复杂.大型数据中心往往是由很多规模庞大的集群系统组成,其运维工作需要具备方方面面的知识,包括硬件.网络.服务器.存储.安全以及业务上的东西,需要上下打通地去做运维工作. 当一个数据中心的规模非常大,面临的挑战和问题也比较超前,很多在小环境小体系下不是问题的问题在这样的规模下也就凸显出来了,所以要做好大型数据中心的运维工作,对整个数据中心技术体系的系统学习就要花费比较长的时间,只有对这个数据中心整体非常了解,才能有针对性地制定一些

美国征信巨头Equifax遭黑客入侵,1.43亿公民身份数据泄漏

本文讲的是美国征信巨头Equifax遭黑客入侵,1.43亿公民身份数据泄漏, Equifax公司泄漏1.43亿个人数据 近日,美国3大老牌征信企业之一的Equifax公司披露称,公司网站遭遇黑客攻击,1.43亿美国公民的个人信息泄露,危及用户的社会保障号码.出生日期.住址以及部分驾驶执照号码等. Equifax公司在一份新闻稿中表示,公司于7月29日发现了"未经授权的访问行为",之后迅速雇佣一家网络取证公司展开调查.Equifax表示,目前,调查仍在进行中,但此次数据泄漏事件可能已经危

政府安全资讯精选 2017年第十四期 贵州政务云密码应用项目正式启动;Equifax 数据泄漏事件催生纽约数据保护立法

  [云上视角] 贵州政务云密码应用项目正式启动 国密局提出密码和云要融合发展  点击查看原文   概要:国家密码管理局商用密码管理办公室霍炜日前出席广州云栖大会并发表演讲,宣布贵州政务云密码应用项目正式启动,并提出了关于密码和云融合发展的六个关键词:网络安全.密码.云安全.密码与云安全.安全感和中国方案.   霍炜表示密码是国家的重要战略资源,保护网络安全的核心技术和基础支撑.构建基于密码的云安全防护体系是系统解决云服务安全与信任的有效手段.中国自主的商用密码算法ZUC.SM2和SM9已成为国