论文部分内容阅读
泄密的一个重要原因是硬盘、光盘等的被盗或丢失。据日本网络安全协会2004年的调查,大约有35%的失密原因在于硬盘、光盘等被盗、21%属于丢失
网络上发生的个人信息泄密事件层出不穷。2005年3月,日本观光俱乐部、东方乐园公司等内部信息流失的消息传出,4月日本开始实施个人信息保护法,5月kakaku.com、6月阿迪克公司息均发生了信息被盗事件。
7月,日本最大的网上商店——乐天成为个人信息丢失的当事者。好在只是丢失了乐天网上商店中心大街的相关商店的信息。估计不是乐天的网络出现了问题,可能是中心大街商店的网络出现了漏洞。但顾客是因为信任乐天品牌才在这里购买东西的,乐天网上商店出了问题,自然人们开始对乐天市场上的所有商店都开始抱怀疑态度。
过去,纸张、软盘能够造成一些泄密事件,但那样的流失大多不致于造成数万人信息的失窃。但到了网络时代,取得这个规模的信息易如反掌。防火墙等网络安全产品方面的大企业,美国Checkpoint(检查站)公司总裁杰尔说:“我们的日常商务越来越依靠网络,也正是因为这个原因,世界各地都发生了信息泄露事件,如何防止泄密,已经是企业经营中的一个非常重要的课题。”
并不是泄露了被媒体炒作的信息才算泄密,信息泄露事件天天都在发生。比如今年7月,某著名软件公司向客户发送新闻稿时,收件人栏中一共有559个邮址。收件人可以从这些邮址中,推测出该公司的客户,这样的信息流失实际上也是一种泄密,只不过企业不那么重视而已。寄一封电子信,搞不好能让大量的邮址信息丢失。
企业害怕风险,开始向网络安全投资
随着个人信息保护法的实施,在个人信息处理上,企业为了防范信息泄露或损坏,开始建立安全监视系统。保护法实施以后,企业对信息保护除了有直接的法律上的风险外,还在信息流失后,需要对被泄密的消费者等赔偿损失,需要在股东大会上应付股东的诉讼。
但更致命的是,企业业务会因此停滞。网络公司kakaku.com就因此完全停止了工作,停工期间没有一分钱的收入。而且随着该公司泄密事件的披露,其品牌形象已经一跌到底,股票价格一落千丈。
泄密事件的先后曝光,让很多企业开始注意防止个人信息的泄露,采取了强化安全的对策。企业对网络安全投资多少才算合适?网络安全方面的专业公司——拉克公司董事西本逸郎说:“这要看出现问题时,企业在金钱上受多大的损失了。这个可以计算,把算出的结果记到账外债务栏里去。在企业经营时,可以参考这个账外债务,考虑网络安全对策。我估计要拿出一笔相当大的投资来。但具体投资时不一定一下子就全部投资到位,可以按轻重缓急,一步一步地投资。”
日本也出现了一些过激现象。比如一些企业拆除了保管信息的硬盘(HDD),为了强化网络安全而使用了没有硬盘的计算机。NEC市场营销推进本部长藤冈忠昭说:“我们公司开发的没有硬盘的计算机,在4月后的短短几个月内,大约有三百多家企业来询价。其中不少企业准备淘汰过去的所有计算机,使用这种新型产品。也有些企业准备根据各个部门的需要,适当地引进新型产品。我觉得淘汰所有的旧式计算机是有些过分了。”藤冈本部长接着说:“要想提高网络安全,就会出现工作效率下降的问题,网络安全与工作效率成反比。我个人认为,应该调整好网络安全与工作效率的关系。”
但也并不是说各个部门可以按自己的意志去做或不做网络安全方面的工作。需要公司有一个整体规划,根据网络安全的需要采取对策。目前日本大多数企业由总务部负责管理人员进出相关科室,而顾客的信息管理则属于营业部,计算机问题由信息系统部管理,法务部管掌合同签署及保存,研发等机密情报归专利部统括,各个部实施的安全措施也大不一样。如果公司整体,或者是集团整体没有一个横向的联系,信息就会从最脆弱的部分(安全漏洞)上泄露出去。从过去众多的失败教训上,我们总能找到公司整体上缺少一个管理体制的漏洞。
“世界上还没有一个完全能防止信息泄露的方法。”杰尔总裁说。但是世界上的确存在能减少风险的方法,我们不妨看看一些企业是如何防范信息泄露的。
维萨/万事达卡的“安全漏洞”:委托外部处理信用卡
概要
6月17日,维萨/万事达卡泄密事件让全世界都感到了震撼。两家公司的处理数据工作都是委托外部企业做的,也正是在这里发生了泄密事件,大约4000万个顾客信息被泄露。
据万事达说,“几个月前开始有小规模的盗用他人信用卡的事件,我们开始寻找泄密的根源。”结果发现是美国信用卡信息处理公司——信用卡系统解决方案公司出了问题。信用卡系统总裁约翰·佩里在议会上证言说,他们是在5月22日发现有人盗用的,第二天就向美国联邦调查局通报了此事。万事达在6月17日发现一些信用卡信息已经被泄露,在这一天他们向全世界使用该卡的公司发出了信息已经被泄露的通知。
这回的事件中,万事达共有1390万件顾客信息,维萨共有2200万件顾客信息被泄露,万事达信用卡共被盗用68000次。据经济产业省调查,日本国内大概有77000人的信息被泄露,其中被盗用的数目大致为820件,经济损失为1亿3000万日元(约1000万人民币——译者注)。
原因
泄露的地点在美国亚利桑那州的信用卡系统数据处理中心。据佩里总裁在议会上证言说,去年9月,有人侵入该中心的系统室,把一个能向外部寄送信息的程序安装到了系统里面。
按说信用卡公司应该要求数据处理企业装防火墙,对往返的信息进行加密处理,对于这个过程,应该有专业公司实施监控。但是信用卡系统公司没有遵守这个规定,也没有对信息加密。这是信息泄露的最主要原因。
通过这次事件,人们才知道信用卡信息要通过好几个企业才能转到处理中心来,而这里面充满了风险。通常人们使用信用卡后,使用信息从商店传到信用卡发行公司,付款等是由信息处理公司来完成的。信用卡系统公司只是这一整套过程中的一个环节。
维萨卡说,他们的付账业务的8成到9成是委托特定企业完成的,剩下的1成左右,是委托几家处理企业做的,中小处理企业之间的竞争非常激烈,“他们不可能引进价格昂贵的网络安全系统。”美国高科技调查公司IDC索非亚·罗贝尔说。
不单单是数据处理公司的网络安全有问题,商店及信用卡发行企业的网络安全如果是比较脆弱的话,也有可能泄露信息,但让所有商店、发行公司都建立一套完备的网络安全系统,大多数人认为,这是不太可能的。
对策
事件发生后,大的信用卡公司开始实施彻底的网络安全规则,维萨卡及美国通用卡在10月31日以后,将不再使用信用卡系统公司为他们处理相关业务,万事达卡也要求该公司在8月31日以前必须按网络安全的规则办事,改善相关的系统对策。按现行规则,如果出现了违反规则的现象,发卡企业可以向处理信息的企业要求支付一笔罚款,但今后惩罚将更加严厉。另外做监控的企业的责任也将更加沉重。
美国正在探讨强化网络安全规则。维萨卡已经在去年重新改定了安全规则。但是美国高科技调查公司的嘉德纳说:“现行的法律只给了个粗的框架,有不少可以例外的地方。”可见对数据处理公司来说,逃避责任并非难事。虽然各家发卡企业都在说“我们准备随时改定规则”,但从内容看还是缺乏具体性。
能够发现信息泄露后被盗用的探知系统正在强化,维萨卡那里需要大约20分钟,这套探知系统已经在6月中旬启用。消费者每刷一次卡,该系统就记录一次有可能是盗用的“分数”,分数随时会被报告到发卡企业那里。出现“反复小数额的刷卡现象”、“在同一时间内反复出现了刷卡记录”等时,分数会上升很多,根据分数的高低,发卡企业决定是否授予刷卡权。维萨卡说,“过去使用100美元,可能会有5至6美分是盗用的,但使用新系统后,被盗用的金额将下降到2至3美分。”
原文刊载于2005年8月20日日本《东洋经济周刊》,陈言翻译。
《东洋经济周刊》授权《经济》杂志独家刊登中文译稿。未经《经济》杂志社许可,任何人不得转载、摘录、引用本文全部或部分内容。