在經典喜劇電影《土撥鼠之日》中,由比爾·默瑞飾演的主角菲爾問道:“如果你被困在一個地方,每天都完全一樣,你所做的一切都無關緊要,你會怎麼做?” 在這部電影中,菲爾陷入了不斷重複同一天的困境,事件在一個持續的迴圈中重複,他所做的一切都無法阻止它們。菲爾的困境聽起來很像我們在資料洩露方面所處的殘酷迴圈。
每年,各組織遭受更多的資料洩露和攻擊,個人資訊以驚人的速度被暴露和濫用。雖然菲爾最終找到了打破迴圈的方法,但我們仍然深陷其中:相同型別的資料洩露事件不斷發生,情節要素幾乎沒有變化。
就像菲爾最終設法做到的那樣,我們必須檢查導致資料洩露發生的重複要素,並嘗試從中學習。常見的情節包括人為錯誤、不必要的資料收集、集中儲存和粗心大意的錯誤。無數的故事都涉及到那些在安全方面投入鉅額資金但最終仍然遭到洩露的組織。只有當我們從這些重複出現的故事中學習時,我們才能在阻止這個迴圈方面取得進展。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於發現和塑造我們當今世界的想法的具有影響力的故事。
如此多的資料洩露故事的主要情節是人為錯誤。人們一次又一次地掉入網路釣魚騙局,未能及時修補漏洞軟體,丟失包含重要資料的裝置,錯誤配置伺服器或在其他任何方面犯錯。
駭客知道人類是薄弱環節。許多公司資料庫的入侵事件更多地是依靠欺詐手段,而不是技術魔法。例如,駭客可以透過傳送一封看起來像是來自員工主管的電子郵件來欺騙組織員工。這樣做很容易:任何人都可以透過在 LinkedIn 上查詢主管姓名來輕鬆瞭解他們的姓名,然後可以欺騙電子郵件地址。本質上,駭客入侵人類的次數多於入侵機器的次數。
儘管人為錯誤是大多數資料洩露事件的一個方面,但許多組織未能對員工進行資料安全方面的培訓。至於那些確實進行了培訓的組織,他們通常使用冗長而乏味的培訓模組,人們很快就會忘記。對提高培訓效果的關注不夠。
合理預期的是,即使擁有訓練有素的員工隊伍,有些人也難免會掉入駭客陷阱。我們必須以現實主義的態度對待資料安全,即人們可能會輕信和粗心,而人性不會改變。這意味著我們需要建立系統和規則,以預測不可避免的洩露並最大限度地減少其危害。
在許多資料洩露事件中,大量資訊一次性丟失,因為被駭客入侵的組織收集了超過絕對必要的資料,或者在應該刪除這些資訊時仍然保留著它們。
隨著時間的推移,組織收集和使用資料的速度超過了他們保護資料的能力——就像 19 世紀的工業革命一樣,工廠在安全和汙染控制措施引入之前就如雨後春筍般湧現。他們不應該儘可能多地囤積資訊,而應該制定資料最小化政策,只收集用於合法目的的必要資料,並避免保留不必要的資料。
更糟糕的是,許多組織已將他們積累的大量資訊儲存在單個儲存庫中。當駭客入侵時,他們可以一次性快速訪問所有資料。結果,資料洩露事件變得越來越大。
儘管許多組織害怕能夠入侵一切的惡魔般的駭客,但他們最應該害怕的是不斷發生的小而粗心的錯誤。
例如,一個完全可以預測的錯誤是裝置丟失。丟失或被盜的筆記型電腦、手機和硬碟驅動器,裝載著個人資料,在洩露事件中發揮了重要作用。公司應該假設至少會發生一些行動式裝置的丟失或盜竊事件——為了防止災難發生,他們應該要求對裝置上的資料進行加密。通常情況下,除了希望粗心大意的錯誤不會發生之外,沒有針對不可避免的粗心錯誤的計劃。
僅靠金錢不足以阻止駭客。事實上,許多發生過重大資料洩露事件的組織也是資料安全方面的大手筆。他們配備了大型安全團隊。他們擁有大量資源。然而,他們的防禦仍然被攻破了。這裡的教訓是,金錢必須花在真正有效的措施上。
在 2013 年的塔吉特百貨資料洩露事件中,該公司在大型網路安全團隊和用於檢測異常活動的複雜軟體上花費了大量資金。該軟體執行良好併發出警報——但安全人員沒有給予足夠的重視,據報道他們關閉了該軟體的自動防禦功能。擁有最好的工具和很多人是不夠的。安全團隊還必須有一個好的劇本,並且每個人都必須儘自己的一份力量。
儘管表面上看,資料洩露事件看起來像是一堆孤立的事件,但實際上它們是涉及整個資料生態系統的更深層次、相互關聯的問題的症狀。解決這些問題將需要公司投資於可以在洩露事件發生之前就阻止它們的安全措施——這可能需要新的立法。
除了一些例外,當前關於資料安全的法律並沒有過多關注最近一次洩露事件的爆炸半徑之外的事情——這加劇了這些網路攻擊造成的損害。透過對洩露實體處以越來越高的罰款,只能獲得如此多的邊際效益。相反,法律應該針對更廣泛的風險行為者,例如不安全軟體的生產者和促進惡意軟體傳播的廣告網路。發生洩露事件的組織幾乎總是可以做得更好,但對他們進行責備只能獲得如此多的邊際效益。法律可以側重於讓其他行為者承擔更多責任,從而更恰當地分配責任。
除了針對更廣泛的責任實體外,立法還可以要求資料最小化。透過減少資料,洩露事件的危害會大大降低。限制那些需要資料並能證明其身份的人員訪問資料也是非常有效的。另一個被低估的重要保護措施是資料對映:瞭解正在收集和維護哪些資料、擁有這些資料的目的、資料的所在地以及其他關鍵資訊。
政府組織可以積極主動地追究公司在洩露事件發生之前的不良做法的責任,而不是等待攻擊發生。與當前幾乎完全關注洩露組織的做法相比,這種策略將更能加強資料安全。
但是,法律仍然在為洩露公司提供同樣令人厭倦的後果,而不是試圖改革更大的資料生態系統。就像菲爾一樣,在立法者意識到他們的方式錯誤之前,我們註定要一次又一次地重溫同樣的洩露事件。
這是一篇觀點和分析文章,作者或作者表達的觀點不一定代表《大眾科學》的觀點。