Nationwide Building Society的教训告诉我们,企业员工的笔记本电脑丢失所带来的损失是巨大的。而Worcestershire County Council不久后也会体验到这一后果。
但是这种损失并不单纯是重新购买和安装系统所花费的成本。在Nationwide的案例中,公司最后被Financial Services Authority判处罚款98万英镑,因为所丢失的笔记本含有大量信息。这台包含了大量客户数据的笔记本是在2006年8月丢失的,此后公司花费了大量的时间和经费来通知所有的客户他们的个人信息有可能已经被泄露,以及由此可能会导致的安全风险。
虽然Nationwide的首席执行官Philip Williamson表示“此次事件不会给客户带来任何直接的经济损失”,尽管如此,为了亡羊补牢,Nationwide仍然应该认真地检讨他们在信息安全方面的措施和控制能力。
而不久前,Worcestershire County Council也接到了它的IT供应商Serco的通知,因为Serco的一个员工在周末的时候被打劫了,笔记本电脑因此丢失。该笔记本中包含了大量的个人信息,包括银行和国家保险信息,Worcestershire County Council的16239名员工以及前员工的信息,这很可能导致这些人员的信息被暴露在身份窃贼面前。
为此Worcestershire County Council通过信件的方式紧急通知了受影响的人员,并开通了热线,为这些人员提供更具体的保护个人信息和隐私的安全方案的指导。
但是这两个机构并不是唯一由于丢失了笔记本电脑而蒙受损失的机构。据英国Freedom of Information在2006年8月份的调查,有不少政府机构的雇员都丢失过笔记本电脑。
其中后果最糟糕的可能就是国防部了,从2005年7月到2006年7月之间,英国国防部总共丢失了21台笔记本电脑。Home Office丢失19台,Department of Health丢失18台,贸易和工业部丢失16台,HM Prison Service丢失8台,Identity and Passport Service丢失4台。
但是笔记本电脑丢失的原因不一定都是小偷盗窃。根据英国职业出租车司机联合会下属的Taxi杂志和移动安全产品供应商Pointsec的联合调查显示,2005年半年时间内,乘客遗忘在出租车里的笔记本电脑数量达到4973台,其中仅有96%归还给了失主。
另外,遗失在出租车里的PDA数量也达到5838部,另外还有63135部手机。基本上每辆出租车半年时间内会出现三部手机,而其中只有大约80%的手机能够找到失主。
这些数字都显示出,虽然移动设备给人们的工作和生活带来了巨大的便利,但是他毫无疑问也给人们的个人信息安全带来了巨大的风险。
这种数据丢失以及没有授权的人可以获取用户的保密信息的风险,最关键的因素之一就是笔记本丢失或被窃。
除了这个因素,根据英国贸易和工业部和PricewaterhouseCoopers的Information Security Breaches Survey 2006数据显示,五分之四的英国企业仍然采用简单的密码方式保护他们的系统。
研究机构Freeform Dynamics的首席分析师David Perry指出,密码并不能保障企业数据的安全。他表示“人们经常使用自己设定的,或者具有一定社会化规律的密码。其中还有一些人会将密码记录在纸上或者其他地方,但是盗贼们却可以轻易找到这些密码。比如,如果盗贼连电脑包一起偷走,那么很可能在电脑包中找到用户的密码。”
而目前的情况很复杂,随着无线网络的普及,越来越多的员工在外出时会接入企业网络,有些则是从家里接入到企业网络。
在这些情况下,有一点是用户无法辨识的,即用户不知道他们所使用的接入点到底属于合法的接入点,还是黑客为了获取登录信息而特设的接入点。这种问题对于基于Intel Centrino的笔记本来说最明显,因为这些笔记本会在发现无线网络的同时就试图自动接入。
虽然诸如AirTight Networks这样的入侵防护软件正在试图跟踪并解决这些问题,但从目前的状态看,这并不能让无线网络安全市场从襁褓期转变为成熟期。
位于Wick Hill的经销商Ian Kilpatrick表示,无线网络的另一个潜在危险是,一些黑客可以建立一种被称为“中间人”的场景。
他解释说:“用户也许认为自己成功接入到了一个无线网络,但是这实际上某个黑客已经在这个无线网络上等待已久了。黑客可以截获用户的登录信息,查看用户与企业网络间的数据传输。而这其中最大的问题是,一旦黑客获取了用户的身份信息,就可以在任何时间和地点接入企业网络了。”
因此,Kilpatrick建议企业强制员工使用SSL或IPsec虚拟专用网连接到企业网络,同时在登录企业网络时使用双重验证方式,如令牌或数字证书,以确保用户身份的合法性。
另一个关键的工具是加密软件。它可以保护员工笔记本中的重要数据。关于加密软件,Kilpatrick表示,目前每台电脑所使用的加密软件大约为70英镑,这与数据丢失所带来的损失以及商业罚款来说,是微不足道的。
另一个令人担心的问题是,笔记本电脑可以将恶意软件带入到企业内部。根据赛门铁克企业安全小组2005年的研究,企业网络的绝大部分病毒攻击事件来自员工的笔记本,43%的企业表示,企业网络是通过这种方式感染病毒的。34%的企业表示是一些企业外人员的笔记本在进入企业网络时将病毒带入网络的。
安全顾问公司Information Risk Management的首席技术官Phil Huggins表示,企业有时候忽略了使用除了反病毒软件和反垃圾邮件程序以外的程序来保护客户电脑。
他说“在客户终端进行安全管理的概念是非常基本的。如果你在员工的笔记本上安装反病毒软件或者反垃圾邮件软件,这是很正常的。但是很少有企业主动给员工的电脑上安装诸如入侵检测,个人防火墙或者加密软件。”
更糟糕的是,很多企业可能更多地关注他们的网络系统,确保网络中的入侵检测系统以及其他安全软件都已经安装了最新的补丁或者升级到了最高版本。但是企业往往忽略了员工笔记本上的安全软件是否也已经达到了相同的安全级别。
在这种情况下,远程管理软件就显得相当有必要了。这类系统可以保证员工的笔记本电脑上的安全软件都已经成功升级或更新到最新版本并进行了合理的安全设置。这类软件还可以针对那些被盗或丢失的笔记本电脑进行操作,当这些电脑试图接入企业网络时,远程管理软件会主动删除笔记本电脑中的数据。
另一个实用的工具是网络接入控制(NAC)软件,Cisco以及Juniper Networks等公司都有此类产品。它的作用是,当笔记本电脑的安全设置不符合企业的安全策略时,笔记本将无法远程接入到企业网络。
不过在Kilpatrick看来,单纯地采用各种安全技术还不够。他说“技术只是在你确定了当前的问题以及企业所能承受的风险时用来作为后盾的。”
也就是说,要实施有效的信息安全措施,企业应该明白自己应当如何利用无线和移动技术,同时理解这其中可能存在的风险。风险评估以及对技术缺陷的分析将成为企业制定移动安全策略的基础,并应该告知员工相关的使用常识。
Perry解释说:“企业必须明白自身的弱点在哪里,以及能够承受多大的风险。接下来的事情都要遵循这一主题,比如用户培训,策略制定以及技术选择等,都应该以最初的评估为依据。”
在Perry看来,对员工的培训至关重要,员工应该了解在陌生网络环境中接入企业网络的潜在安全威胁,以及一旦发生问题如何进行处理和报告。另外还应该对员工强调一点,“员工经常丢失笔记本”,并提醒他们,笔记本属于公司财产,而不是他们自己的。
这么做的目的是要让员工将安全意识放在首位,万一笔记本真的丢失了,可以将损失和企业所承受的后继风险降到最低。
这又引出了一个重要问题。如果移动设备采用了严格的安全措施,那么他的便利性就会受到影响。因此企业的安全策略要在便利性和安全性之间取得一个平衡。
Kilpatrick认为,在企业或项目运作的初始就嵌入安全性内容,要比日后再修改或加入安全性内容要廉价和有效。
他说:“如果不将安全性作为企业业务的一部分来对待,那么日后用于安全方面的开支将非常大,并且实施起来也更加困难。但是如果企业在一开始就认识到安全的重要性,比如为每台新购置的电脑花费250英镑安装安全系统,则可以很好地控制日后企业所承受的风险。”
因此对于企业来说,清楚地意识到企业所面对的安全风险,并为此作好准备,是相当重要的。正如Kilpatrick提到的,如果办公室里最后一个下班的员工没有锁门,而且企业的保安也都回家了,那么企业可能会被洗劫一空,这个员工和保安也会受到相应的处罚。
“但是如果员工拿着一台没有任何安全防护的笔记本电脑在公众无线热点上网,并且还登录到企业网络,这种情况所造成的安全威胁同样相当大,但是一些企业却并没有意识到。因此一定要让员工知道通过无线方式远程接入企业网络的风险,以及他们需要为这些风险承担责任,而不是企业的IT部门。”
(责任编辑:陈毅东)