安全觀點：遭遇資料洩露破壞損失的不只是金錢

　　Ponemon研究所的一項研究發現，資料洩露、丟失等破壞行為的平均開銷正在逐年增加。這其中，對於一家企業來說，首當其衝的就是業務的損失，佔到了總花費的69%。

　　資料破壞是一項需要花錢的事情，而且要想讓它什麼時候變得價格低廉一些，幾乎是不可能的。尤其是由第三方組織引起的的資料破壞行為。

　　但是，根據Ponemon研究所的最新研究我們發現，資料破壞的開銷不只是接收到通知後的那種單一的開銷。它們同樣使企業蒙受失去重要業務和商業機會的損失，這是為什麼資料破壞行為會給企業帶來昂貴開銷的主要原因。

　　根據由PGP發起的一項調查，我們看到，資料破壞的平均花費從檢測到通知再到回覆，在過去的2008年是202美元。相對於2007年的197美元來說，可以看到，數字在增長。

　　研究顯示，2008年，業務方面的經濟損失數字為全部資料破壞開銷的69%，多於2007年的65%和2006年的54%。

　　Ponemon研究所的研究發現是基於43個遭受資料破壞的集團的經驗總結出來的。他們中的84%都在過去經歷過一次資料破壞行為。

　　正如其他研究發現一樣，Ponemon研究所通報說道，大部分的資料破壞行為都不是由於黑客引起的，而是源於某些內部人士的疏忽大意。有關第三方組織(如外包商、承建商和顧問公司)的行為經披露佔到了被告者的44%，是2005年所佔百分比的雙倍數字還多。第三方組織的花費往往在52美元以上，平均為231美元 。

　　“我感覺，現在很多客戶仍然將防禦外部威脅看得遠高於內部威脅，並投入過多的努力在上面，”身份和准入管理廠商SailPoint科技執行長Mark McClain說，“相比那些行為不軌的員工來說，他們有更多的力量來保護自己抵禦那些臭名昭著的東歐黑客。”

　　然而，當我們看到Heartland支付系統違反的案例和在這之前的無數有關聯的事件時，我們看到了網路騙子不約而同的圖謀，那就是，他們總是著眼於企業的資料。在Heartland的這個例項中，公司首先發現了涉及信用卡交易的可疑活動，這比交易從Visa 轉到 MasterCard。在隨即他們展開的調查中發現，黑客早已在他們的系統中部署了惡意軟體。

　　一旦資料破壞行為發生，企業往往會對培訓加大資金投入和採取更進一步的加密策略。

　　“他們要做的第一件事就是按照安全手冊的條文進行培訓，他們這麼做似乎是合理的，因為這些行為都來自於內部人士的疏忽。”研究所的學會主席Larry Ponemon說，“但是從技術角度來看，違反行為發生後第一應該做的事情是進行加密，我們的研究發現似乎暗示出了加密手段的一個更全面和戰略性的用途。”

　　自資料破壞行為去年為大家所認識後，Heartland官員已經確立了一個內部部門專門致力於開發端到端的加密技術，保護在金融交易過程中的商家和消費者的資訊。

　　Heartland 執行長Robert O. Carr說《支付卡行業資料安全標準》已經達到了一定影響作用，因此激進的網路竊賊也需要更進一步的方法了。

　　“對於確保支付系統安全來說，世界上沒有絕對的靈丹妙藥，所以持之以恆的警覺意識和管理的基礎設施將一直被需要。”他在一份宣告中說：“儘管如此，我相信，開發和部署端到端的加密技術將為我們提供使安全防護水平不斷提高的能力，而它們已經變得炙手可熱。”

　　有人說，支付卡行業資料安全標準(Payment Card Industry (PCI) Data Security Standard)可能也做不到充分保護客戶或商家，這一觀點引起了一場轟轟烈烈的辯論，人們開始懷疑在IT行業法律的所扮演的到底是什麼樣的角色。儘管，一個人認為法規中的有關安全技術的一些指導方針是不錯的想法，但是這其中還是存在著不容忽視的風險，那就是，法律始終是落後在時間後面的，Ponemon對人們這樣警示道。

　　“法規條例的滯後性不用多說，”他說，“今天按照法律，你必須採取這樣的加密策略或是那樣的軟體保護，但是，立法者根本沒意識到其餘的所有的巨大的安全威脅。導致的結果就是，你正全力以赴地執行的一些做法可能永遠落後於那些最新興的科學技術。這個世界不存在受法律限制的創新。”