数据泄漏趋势分析 用安全优势作为营销手段

现在是六月的最后一周，半年时间已经过去了。现在是回顾今年数据泄漏趋势的最佳时刻。

在银行业方面，最新的统计数据表明，迄今为止，金融机构在2010年已经发生了39起数据泄漏事件。2009年全年一共发生了62起，今年上半年发生的数量已经超过了2009年的一半。

虽然，所有的单个事件都没有去年的Heartland Payment Systems攻击事件规模大，但是人们还是可以从中看出三个明显的威胁，它们占了今年所报道的数据泄漏事件的大部分：

l 硬件丢失或者被窃——这么多的笔记本电脑究竟是如何丢失的呢？

l 内部盗窃——混乱的时候有些人会选择这么做

l 外部网络入侵——Ye olde黑客攻击。

更令人不安的是，身份识别盗窃资源中心（ITRC，这个机构跟踪各个行业的数据泄漏事件）的主席Linda Foley表示，上述列出的事件只是冰山一角。我想你们没有必要再去深入调查并找寻那些令人不安的、没有报道过的ATM数据盗取以及ACH诈骗事件了吧。

情况很明确：虽然今年还有没有任何一个数据泄漏事件已经引起了公众的注意，但是这些小规模的事件表明诈骗人员一直在从事犯罪活动。现在很有意思，我们可以来预计一下下半年的情况。许多专家预言，我们将会在2010年看到一起类似于Heartland那种规模的数据泄漏事件。我的问题是：他们所说的已经发生了吗，是我们现在不清楚，还是终究会发生呢？

当然，还有一件事情（既不是ITRC也不是数据泄漏时间追踪）：在监测或者确定泄漏事件方面，我们怎么才能变的比去年更聪明些？或许，泄漏事件数量的不断增长再一次告诉我们需要了解的一切经验教训，或者缺少的东西。

同时，在医疗保健方面，我非常喜欢美国联邦政府的医疗保健数据泄漏事件列表。这个列表刚发布四个月，它是HITECH法案泄漏事件所检测到的结果，该法案中明文规定如果数据泄漏影响超过500人，那么此泄漏事件就必须向美国民事权力HHS办公室、新闻媒体以及受到影响的个人汇报。

在不到半年的时间里，这个列表中已经出现了大约100起事件。诚然，这些事件中有些是在2009年发生的，但是直到2010年才曝光，我们在本文中主要谈论的是笔记本电脑丢失以及数据泄漏记录。HealthcareInfoSecurity.com 的执行总编Howard Anderson表示， 61%的报告事件涉及到未加密的计算机设备（笔记本电脑、USB闪存盘、CD或者硬盘等）的盗窃或者丢失，而大约9%的事件涉及到文件记录的盗窃或丢失。

哪一个是更重要的趋势呢？是泄漏事件的数量，还是美国联邦政府命令医疗企业要公开为这些泄漏事件负责？

我更关注数据泄漏事件的管理规则。你已经看到了一些州（加利福尼亚、马萨诸塞州、内华达州等等）制定数据隐私法律来发布泄漏事件的信息。但是医疗保健行业是第一个由美国联邦政府人员进行列表记录并且检查两次的行业。你能想象一个联邦数据泄漏告知标准用在金融服务行业、或者用在政府机构上的情景吗？

你可以看到，人们对所报告的泄漏事件会强烈的反对。当WellPoint公司（这家公司在14个州拥有Blue Cross和Blue Shield）告知47万人：他们的信息可能已经在一个网站上泄漏的时候，那就不仅仅是一个电话卡信息泄露的问题了。

但是，随着更多的数据泄漏事件开始曝光，可能我们真的会看到像作者Joseph Menn最近向我描述的那种情况。他相信，对于没有泄漏事件的企业来说，以他们的信息安全优势来推销他们的业务是一个很好的机会。虽然，市场营销人员从来都是回避谈论安全（那会表示公司可能会出现漏洞），但是Menn指出，"企业应该有严格的安全管理，然后对其进行宣传。让这种以安全为基础的竞争持续下去。我认为，这会让企业赢得客户。"

那么，你对此是怎样认为的呢？大家对数据泄漏事件的最新趋势、通知规定等有什么看法？对把信息安全当作最新的市场营销工具感觉如何呢？

请写出你们的看法。我将会在下面的日志（链接）中分享你们的一些想法。