企業(yè)安全高管表示,提供低成本電腦服務(wù)的外包公司正成為打擊網(wǎng)絡(luò)犯罪的最薄弱環(huán)節(jié)”。
隨著云計算服務(wù)的增加,企業(yè)聘用分包商以減少成本的長期趨勢有所增強。云計算擴大了可以外包的IT工作的范圍,但為黑客創(chuàng)造了新的機會。
通用電氣(GE)旗下的通用電氣金融(GE Capital)首席隱私主管奧利•迪恩斯坦(Orrie Dinstein)表示,一些服務(wù)供應(yīng)商在處理敏感數(shù)據(jù)時安全措施松懈,缺乏像它們的大公司客戶那樣的嚴(yán)密控制。
它們變成了最薄弱的環(huán)節(jié),”他上周在紐約律師協(xié)會(New York City Bar Association)的一次會議上表示,你必須不僅關(guān)注自身,還要關(guān)注整個供應(yīng)鏈。”
美國聯(lián)邦貿(mào)易委員會(US Federal Trade Commission)消費者保護(hù)局表示,已對相關(guān)企業(yè)提起約40宗數(shù)據(jù)安全訴訟,至少6宗涉及未能對服務(wù)供應(yīng)商進(jìn)行合理監(jiān)督。
美國政府和國會正對來自伊朗、中國和其他地區(qū)的黑客加大警告,聲稱他們正侵入并破壞美國的企業(yè)和基礎(chǔ)設(shè)施。上周,韓國廣播公司和銀行成為多起明顯黑客攻擊的受害者,這引發(fā)了人們對于朝鮮可能參與其中的猜測。
通過將工作任務(wù)外包,企業(yè)正將敏感的公司和客戶信息交到外部服務(wù)供應(yīng)商手中,這些工作從呼叫中心或服務(wù)臺的管理到新軟件應(yīng)用的開發(fā),不一而足。
但金融服務(wù)集團保誠(Prudential)的首席信息安全官托馬斯•多蒂(Thomas Doughty)表示,能夠管理一家公司食堂菜單的服務(wù)商,不一定有資格管理薪酬體系。
他表示:人們知道,在依賴供應(yīng)商之前,他們需要展開盡職調(diào)查,但一直讓我感到震驚的是,他們是根據(jù)對逐個供應(yīng)商的評價來做出決定的,而實際上他們需要根據(jù)逐項業(yè)務(wù)內(nèi)容來做出決定。”
在本月公布的一項針對IT專家的調(diào)查中,波耐蒙研究所(Ponemon Institute)發(fā)現(xiàn),對于誰應(yīng)該為維護(hù)公司安全負(fù)責(zé),一直未達(dá)成共識。
大型云計算供應(yīng)商Rackspace副首席顧問佩里•羅賓遜(Perry Robinson)表示,該公司有時不得不建議客戶改善網(wǎng)絡(luò)安全。
他表示:我們特意在合同中寫明,如果客戶沒有保持健康的安全環(huán)境,我們可以退出服務(wù)。”
是否具備良好的安全環(huán)境,可以從是否采取如下安全措施來判斷:密碼保護(hù)、加密、數(shù)據(jù)隔離、數(shù)據(jù)訪問權(quán)限須知和活動日志。
紐約州網(wǎng)絡(luò)安全辦公室主任托馬斯•史密斯(Thomas Smith)表示,密碼過于簡單一直是一大風(fēng)險來源,他指出,去年SplashData的一項調(diào)查發(fā)現(xiàn),最常用的密碼是password”和123456”。
另外一個越來越受歡迎的密碼為Jesus(耶穌)”。史密斯記得有人曾說:基督教徒將耶穌視為自己的救世主沒有錯,但這并不意味著,耶穌是一個不錯的密碼。”
會計師事務(wù)所普華永道(PwC)合伙人卡洛琳•霍爾科姆(Carolyn Holcomb)表示,外包合同現(xiàn)在一般包含相關(guān)條款,要求服務(wù)供應(yīng)商在它們的數(shù)據(jù)泄露”時通知其客戶。但她表示:沒有真正落實的是監(jiān)督。”
譯者/梁艷裳