解析數據泄漏審計
當這家位于美國波士頓的中型制藥公司的IT主管第一次被要求進行數據泄漏審計時,他非常激動,他認為審計將會暴露公司數據泄漏防御系統(tǒng)中的一些問題,然后他就能利用這些審計結果爭取更多的資金部署更好的安全措施
當這家位于美國波士頓的中型制藥公司的IT主管第一次被要求進行數據泄漏審計時,他非常激動,他認為審計將會暴露公司數據泄漏防御系統(tǒng)中的一些問題,然后他就能利用這些審計結果爭取更多的資金部署更好的安全措施。
“數據泄漏一直不是大家關注的重點,除非發(fā)生重大的泄漏事故,IT人員最大的希望是能夠引起公司領導對數據脆弱性的關注,然后能夠投入更多資金,”這名IT主管表示。
但是結果比他預想得更加嚴重,為期15天的審計查出了11000起潛在的泄漏事故以及IT團隊的安全部署方面的嚴重問題。
由安全咨詢公司Networks Unlimited公司進行的這次審計主要檢查了公司的出站電子郵件、FTP和web通訊,審計的目標主要是一般財務信息、公司計劃和戰(zhàn)略、員工和其他個人身份信息、知識產權和專利權等方面的泄漏情況。
Networks Unlimited公司在企業(yè)局域網和防火墻間放置了一個接頭(tap),在外部電子郵件網關和防火墻間放置了第二個接頭。Networks Unlimited公司在兩個服務器上使用了WebSense軟件來監(jiān)測未加密的通信流量,然后對比公司的正常來分析這些流量。具體的說,Networks Unlimited公司主要是要找出與該制藥公司的內部保密政策、公司信息安全政策、HIPAA法案、SOX法案等相違背的地方。
Networks Unlimited公司的高級工程師Jason Spinosa表示,當他為這次審計選擇標準時,他通常會建議公司根據公司的安全風險來確定政策設置。
當Spinosa發(fā)現有超過700多個關于關鍵信息(社會安全號、定價、財務信息和其他違背PCI標準的關鍵數據)的數據泄漏,他還發(fā)現超過4000多處與HIPAA法案以及國防部信息保障認證規(guī)則相違背的嚴重問題。
雖然該公司從技術上來看不完全屬于HIPAA法案管制的范圍,因為主要是由第三方處理所有的個人身份信息,IT主管表示他們希望最終能夠實現自己公司來管理那些信息。此外,Spinosa表示,哪些不屬于HIPAA范圍的公司應該根據HIPAA的基本準則來審計,因為存在潛在的敏感數據泄漏。
難以置信的是,這次審計發(fā)現了超過1000起未加密的密碼傳輸,例如訪問個人帳戶、web電子郵件帳戶的密碼等。Spinosa表示這個結果很嚴重,因為很多員工喜歡在多個系統(tǒng)使用相同的密碼,“這會使內部應用程序變得非常不安全。”
以下是這次審計中發(fā)現的最嚴重的泄漏威脅:
No. 1:機密的zip文件
員工發(fā)送的未加密電子郵件中包含明確標記為“機密”的zip附件,盡管該電子郵件的收件人簽署了保密協(xié)議,但是所有類似信件都應該被加密。
最壞的情況: 這封電子郵件可能會被第三方截獲并獲取,這也潛在地違背HIPAA法案,因為明確表明了附件內容的性質。
No. 2:機密附件
員工向外部供應商發(fā)送包含有標記為“機密”附件的電子郵件,該郵件中討論了病人參與臨床實驗的權利和補償問題。
最壞的情況: 該郵件保護關于未完成的機密文件和可能損害該公司聲譽的信息。
No. 3:臨床研究
員工將包含有基本完成的臨床研究報告附件的未加密信息發(fā)送給外部供應商。
最壞的情況: 這些臨床研究結果可能會被第三方截獲并提早曝光。
No. 4:重要電子表格
員工將重要的員工補償數據發(fā)送給外部調查公司,所附的表格可能包括工資、獎金、銷售配額、股票期權、授權股票價格等重要信息。
最壞的情況: 這直接違反了美國的隱私法,并且這些信息的包括將會影響公司競爭力和公共形象。
“對于我們而言,最重要的事情就是保護我們的知識產權,包括專利等。這些信息的泄漏不僅會導致罰款。也會對公司聲譽造成極差的影響,因此我們必須保護自己的信息。”該制藥公司的IT主管表示。
“我們以為我們的安全狀態(tài)很好,我們已經為隱私法進行了內部和外部審計的準確,并且進行了廣泛的滲透測試,另外,公司還部署了入侵檢測和防御以及筆記本加密等措施,還進行了員工培訓,但是審計結果表明,做了這么多也還是不夠的。”IT主管表示。
如何應對
Spinosa建議該制藥公司的安全團隊采取雙管齊下的方法并重新審視企業(yè)業(yè)務流程和技術強化,“現在,他們處理機密信息的方式會讓他們承擔違法法律、法規(guī)和商業(yè)合作伙伴關系等方面的風險。”
他還補充說,他發(fā)現的所有泄漏事故都是可以很容易預防的,他建議公司們不要依賴于用戶或者商業(yè)合作伙伴進行正確安全的操作,相反的,公司應該進行自動加密。例如,該公司應該擴大對傳輸層安全的使用來保證與其他業(yè)務伙伴的敏感信息的傳輸,他們已經開始使用該安全層來保護其與FDA的通訊。
此外,該公司還應該部署安全的電子郵件產品,能夠自動檢測和加密保護機密信息(如專利和臨床實驗結果等)的郵件,Spinosa表示,這些產品還會提醒發(fā)件人(包括業(yè)務伙伴)誰在試圖發(fā)送未加密的機密信息。
最重要的是,企業(yè)應該對其網絡進行定期審計以確保所有的政策都被落實。
Spinosa還建議對用戶和業(yè)務伙伴進行培訓,應該對用戶經常進行關于重要數據泄漏的影響的培訓,還應該向他們解釋哪些類型的信息屬于機密信息。
最后,公司應該只與哪些了解如何安全交換信息的公司進行業(yè)務往來。
該制藥公司的CIO表示他們接受這些建議,并表示他們已經部署了大量加密措施,但是由于沒有得到高級管理人員(COO、CFO和首席醫(yī)療官)的支持,這些還只是紙上談兵。
因此,他的第一項任務就是向高層管理人員們深入講述審計發(fā)現的問題以及消除潛在問題的解決方案,只有讓高層們了解風險的所在,事情將簡單得多。
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
2017年中國新能源重點細分行業(yè)發(fā)展現狀、新能源行業(yè)發(fā)展趨勢及投資前景分析【圖】
-
電力轉型是推動能源轉型的關鍵
-
湖北2017年電力運行情況:直接交易完成簽約電量351.44億千瓦時
-
河南12月全社會用電量275.86億千瓦時 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀錄 實現開門紅
-
安徽電力直接交易執(zhí)行、出清細則和電力市場電量結算規(guī)則發(fā)布
-
電網經營行業(yè)產品成本核算制度印發(fā):有配電業(yè)務的售電公司參照執(zhí)行
-
遼寧對居民電采暖用戶試行峰谷分時電價政策