互相推卸责任导致身份盗窃活动剧增

ZDNet安全频道原创翻译 转载请注明出处以及作者

作者：汤姆·欧扎克

推卸责任是一种浪费时间的游戏，也不会有什么用处。就象罗马暴君尼罗纵火焚城，一边观火一边弹小提琴。我们需要着眼于问题的实质，特别是，新增的价值。
--------------------------------------------------------------------------------------------

曾经有这样一位对自己工作非常负责的经理，即使在休假的时间也携带着自己的笔记本计算机。尽管笔记本中包含了敏感的信息，但他最喜爱的度假地和服务的公司在当地的机构隔的并不远。 将其放在一辆上了锁的汽车中似乎是一件聪明的事情。毕竟，谁会想到打破窗户，窃取机器？

这位经理的老板也生活在一个童话世界，以为密码保护的笔记本计算机是足够安全的。即使里面包含了关于客户的敏感信息。

世界非常小，这位不知名的被解雇的经理生活和工作在英国。从The Register网站上可以了解到：

************************************************************

克罗斯特大学医院已经解雇了一名经理，原因是丢失包含了未加密的病人纪录的工作用笔记本计算机。

这台在六月份在经理的眼皮底下被盗的个人计算机包含了数千名患者的个人资料和治疗计划的副本。小偷在这位无名经理人度假的爱丁堡，破窗进入车内拿走了机器。

资料来源：约翰·莱登二○○八年八月十二日发表在The Register网站上的文章“克罗斯特大学医院解雇丢失笔记本计算机的经理”

************************************************************

当然，医院的反应是非常迅速的。我阅读文章的时间，就有二十七个留言是关于谁该对数据丢失负责的。实际上，我觉得文章并没有详细地进行分析。象为什么数据会在这台笔记本计算机中，或者为什么经理在度假的时间还可以带着机器，以及数据为什么没有进行加密。这些事情其实不是最重要的。最重要的是出现这种互相推脱责任的情况时，应该怎么办？
 
推卸责任是一种浪费时间的游戏，也不会有什么用处。就象罗马暴君尼罗纵火焚城，一边观火一边弹小提琴。未受保护的笔记本计算机被盗的原因的分布情况可以在下面的表格中看到。

表格显示了，通常情况下，上面所述的文章中二十七个留言的意见分布。它是按照从高到低的顺序排列，包含了五个相关的选项。

前三个选项是同一个范畴里的，七人认为经理应该负责，六人认为医院应该负责，而五人认为双方都应该承担责任。有几个人其实问了一个很好的问题，为什么休假的时间经理还带着笔记本计算机？不要互相推卸责任，我想探讨一下应该如何解决相关的漏洞。

在这起丢失病人数据的事件中，尽管资料有限，从客观的方面来看，我们可以得到下面的几条信息。

1. 这台笔记本计算机里存储的数据没有加密

2. 敏感的数据被复制到这台笔记本计算机上

3. 笔记本计算机是被锁在车里，任何人用锤子或者石头就可以方便地打开

对笔记本计算机可能储存敏感资料的硬盘进行加密是最基本的作法。不论是保健或其他任何公司组织都不应该幻想笔记本电脑不会被盗。这是管理方的责任。希望用户不在便携式计算机中存储敏感资料的想法是幼稚的，这是我们得到的第二点教训。

一些受访者认为敏感的资料不应保存在笔记本计算机中。也许，大概是这样吧。没有加密的移动计算设备应该遵循这一点。但实际上也并不缺乏本地信息被盗的情况。它们应该只能通过虚拟专用网络或者其它的模式连接到集中存储的数据上，但这里有一个问题，远程连接并非总是可用。如果员工的移动计算设备是配发的，对于老板来说，就是保证设备的安全运行环境，不论数据是如何存储的。

最后一点是我经常问的，在我们的员工报告笔记本计算机在他或她的车中被盗的时间。为什么它会在无人看管的状态下放在车里？公司的责任是什么？应该告诉移动的用户如何保护笔记本计算机。它们应该被员工所了解（举例来说应该让移动用户签署一份协议，说明他们了解有关的政策），包括解雇在内的处罚措施也应该明确。

克罗斯特大学医院是否应该解雇这名经理？我不知道。我手头没有足够的信息。从表面上来看，有三分之二的人认为医院存在管理和执行上的责任。也许每个人都应该坐下来，心平气和地找出发生了什么、应该发生什么、差距在哪里及下一次如何让我们做的更好的？而不是互相推卸责任。解雇某人大家（除了这位经理）感觉更好，但如果不采取措施对实际问题进行修正，对于安全状况来说这并没有什么用处。