編輯部
2006 年,當知名會計事務所 Ernst & Young 的一名員工把他的筆記型電腦留在汽車離開時,他並不知道這樣一個不謹慎的決定會造成數萬人陷入嚴重的安全風險。
在他回到車子之前,不只是筆記型電腦,連同聘請該公司查帳的 Hotels.com 線上訂房網站約 24.3 萬名顧客的姓名和信用卡資料,也已經遭竊。
很快就得知消息的一些線上網站和新聞指出,這些資料使用密碼保護,但是並沒有加密。雖然這個事件看似一次單純的汽車竊案,不過 Ernst & Young 隨即採取額外的保護措施以預防未來發生類似的竊案。
不容忽視的趨勢:隨著資料越來越具可攜性,以及在工作場所之外存取資料的機會增加,發生誤用和失竊的機會也相對提高。未來數年,這類事件將佔據越來越大的新聞版面。
社會安全碼也可能遭竊,例如 2008 年 1 月美國田納西州 Nashville 市發生一件竊盜事件,Davidson 郡選委會辦公室遺失 2 臺筆記型電腦,其內包含該郡 33.7 萬名投票人的社會安全碼。
最近的一次是今年 1 月間,每月為 17.5 萬商家處理一億筆信用卡支付服務的美國 Heartland Payment Systems 公司系統遭入侵,而且該公司好幾個星期之後才發現。
 |
| SafeNet 亞太區副總裁陳泓 |
有時候,公司本身會在不知情的情形下流出資訊。多達 2.2 萬筆信用卡詳細資料於 2009 年 3 月從 Google 搜尋引擎流出,可能的原因是一家結束營業的公司所使用之支付閘道暴露到線上。幸運的是,發現這項資訊的一位澳洲人,且立即通報警方。如此大量敏感資訊暴露事件不斷佔據頭條新聞,因此不意外的是已有許多公司採取步驟以保護和確保可能暴露在外之資訊的安全。
這可能包括儲存在智慧型手機、筆記型電腦和 Internet 伺服器上的資料。他們採行的防護措施包括為那些接受智慧型手機透過網路存取的資料進行簡單的加密,或者將儲存在筆記型電腦的資料拆散,以及確保 Internet 伺服器進行安全強固等。
雖然這些是任何組織在處理敏感資訊上必須採行的第一步驟,不過他們也應該做長遠性的規劃,以因應不同的威脅。企業組織應考慮為那些也可能被非授權「內部人員」看到的資訊進行加密保護。
根據 IDC 於 2008 年 8 月提出的一份調查報告,公司採取加密措施的主要用意是為了「防止敏感資料有意或無意暴露至外界」。
(SafeNet 亞太區副總裁陳泓/作)
……未完(更多內容請參閱網路資訊雜誌 2009 年 7 月號 212 期)