在经典喜剧电影《土拨鼠之日》中,由比尔·默瑞饰演的主角菲尔问道:“如果你被困在一个地方,每天都完全一样,你所做的一切都无关紧要,你会怎么做?” 在这部电影中,菲尔陷入了不断重复同一天的困境,事件在一个持续的循环中重复,他所做的一切都无法阻止它们。菲尔的困境听起来很像我们在数据泄露方面所处的残酷循环。
每年,各组织遭受更多的数据泄露和攻击,个人信息以惊人的速度被暴露和滥用。虽然菲尔最终找到了打破循环的方法,但我们仍然深陷其中:相同类型的数据泄露事件不断发生,情节要素几乎没有变化。
就像菲尔最终设法做到的那样,我们必须检查导致数据泄露发生的重复要素,并尝试从中学习。常见的情节包括人为错误、不必要的数据收集、集中存储和粗心大意的错误。无数的故事都涉及到那些在安全方面投入巨额资金但最终仍然遭到泄露的组织。只有当我们从这些重复出现的故事中学习时,我们才能在阻止这个循环方面取得进展。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保未来能够继续讲述关于发现和塑造我们当今世界的想法的具有影响力的故事。
如此多的数据泄露故事的主要情节是人为错误。人们一次又一次地掉入网络钓鱼骗局,未能及时修补漏洞软件,丢失包含重要数据的设备,错误配置服务器或在其他任何方面犯错。
黑客知道人类是薄弱环节。许多公司数据库的入侵事件更多地是依靠欺诈手段,而不是技术魔法。例如,黑客可以通过发送一封看起来像是来自员工主管的电子邮件来欺骗组织员工。这样做很容易:任何人都可以通过在 LinkedIn 上查找主管姓名来轻松了解他们的姓名,然后可以欺骗电子邮件地址。本质上,黑客入侵人类的次数多于入侵机器的次数。
尽管人为错误是大多数数据泄露事件的一个方面,但许多组织未能对员工进行数据安全方面的培训。至于那些确实进行了培训的组织,他们通常使用冗长而乏味的培训模块,人们很快就会忘记。对提高培训效果的关注不够。
合理预期的是,即使拥有训练有素的员工队伍,有些人也难免会掉入黑客陷阱。我们必须以现实主义的态度对待数据安全,即人们可能会轻信和粗心,而人性不会改变。这意味着我们需要建立系统和规则,以预测不可避免的泄露并最大限度地减少其危害。
在许多数据泄露事件中,大量信息一次性丢失,因为被黑客入侵的组织收集了超过绝对必要的数据,或者在应该删除这些信息时仍然保留着它们。
随着时间的推移,组织收集和使用数据的速度超过了他们保护数据的能力——就像 19 世纪的工业革命一样,工厂在安全和污染控制措施引入之前就如雨后春笋般涌现。他们不应该尽可能多地囤积信息,而应该制定数据最小化政策,只收集用于合法目的的必要数据,并避免保留不必要的数据。
更糟糕的是,许多组织已将他们积累的大量信息存储在单个存储库中。当黑客入侵时,他们可以一次性快速访问所有数据。结果,数据泄露事件变得越来越大。
尽管许多组织害怕能够入侵一切的恶魔般的黑客,但他们最应该害怕的是不断发生的小而粗心的错误。
例如,一个完全可以预测的错误是设备丢失。丢失或被盗的笔记本电脑、手机和硬盘驱动器,装载着个人数据,在泄露事件中发挥了重要作用。公司应该假设至少会发生一些便携式设备的丢失或盗窃事件——为了防止灾难发生,他们应该要求对设备上的数据进行加密。通常情况下,除了希望粗心大意的错误不会发生之外,没有针对不可避免的粗心错误的计划。
仅靠金钱不足以阻止黑客。事实上,许多发生过重大数据泄露事件的组织也是数据安全方面的大手笔。他们配备了大型安全团队。他们拥有大量资源。然而,他们的防御仍然被攻破了。这里的教训是,金钱必须花在真正有效的措施上。
在 2013 年的塔吉特百货数据泄露事件中,该公司在大型网络安全团队和用于检测异常活动的复杂软件上花费了大量资金。该软件运行良好并发出警报——但安全人员没有给予足够的重视,据报道他们关闭了该软件的自动防御功能。拥有最好的工具和很多人是不够的。安全团队还必须有一个好的剧本,并且每个人都必须尽自己的一份力量。
尽管表面上看,数据泄露事件看起来像是一堆孤立的事件,但实际上它们是涉及整个数据生态系统的更深层次、相互关联的问题的症状。解决这些问题将需要公司投资于可以在泄露事件发生之前就阻止它们的安全措施——这可能需要新的立法。
除了一些例外,当前关于数据安全的法律并没有过多关注最近一次泄露事件的爆炸半径之外的事情——这加剧了这些网络攻击造成的损害。通过对泄露实体处以越来越高的罚款,只能获得如此多的边际效益。相反,法律应该针对更广泛的风险行为者,例如不安全软件的生产者和促进恶意软件传播的广告网络。发生泄露事件的组织几乎总是可以做得更好,但对他们进行责备只能获得如此多的边际效益。法律可以侧重于让其他行为者承担更多责任,从而更恰当地分配责任。
除了针对更广泛的责任实体外,立法还可以要求数据最小化。通过减少数据,泄露事件的危害会大大降低。限制那些需要数据并能证明其身份的人员访问数据也是非常有效的。另一个被低估的重要保护措施是数据映射:了解正在收集和维护哪些数据、拥有这些数据的目的、数据的所在地以及其他关键信息。
政府组织可以积极主动地追究公司在泄露事件发生之前的不良做法的责任,而不是等待攻击发生。与当前几乎完全关注泄露组织的做法相比,这种策略将更能加强数据安全。
但是,法律仍然在为泄露公司提供同样令人厌倦的后果,而不是试图改革更大的数据生态系统。就像菲尔一样,在立法者意识到他们的方式错误之前,我们注定要一次又一次地重温同样的泄露事件。
这是一篇观点和分析文章,作者或作者表达的观点不一定代表《大众科学》的观点。