T-Mobile事件告訴我們 美國企業如何響應數據泄露
數據泄露從來不是什么好事兒,但即便有最佳防御操作,該發生的還是會發生。一旦泄露事件發生,我們需要考慮的是該如何恰當處理。
8月24日上午,T-Mobile給用戶發了一封短信:“T-Mobile MSG:您好,我們識別并阻止了對您信息的未授權捕獲。沒有財務信息、身份證號被盜走,但一些個人信息或許有所泄露。”并在短信中附了一個通往T-Mobile安全聲明的鏈接
(https://www.t-mobile.com/customers/6305378821),聲明中所說內容與短信基本相同。
遭受數據泄露固然不是什么好事兒,但越深入分析整個事件,就難免會越感謝T-Mobile發出的這條警告。原因正在于,T-Mobile干了件似乎永遠不會發生的事。簡言之,T-Mobile發現了入侵,阻止了數據泄露,然后立即通知了客戶。
T-Mobile至今對如何抓獲該黑客的情況守口如瓶,但很明顯,該公司有一套很有效的入侵檢測機制。而且,這家公司也有能力在發現入侵者后將之踢出公司系統,這一點不是每家公司都能做到的。
T-Mobile發言人表示已沒有進一步的威脅,但未就黑客身份做進一步的解釋,也沒有詳細描述該公司是怎么響應這次數據泄露的。
致電T-Mobile客服熱線打聽數據泄露詳細情況的結果是,該公司幾乎即時修復了相關安全問題,客戶只有姓名和郵編被盜走了。
收到T-Mobile通告泄露事件的短信后,一大堆警告有關嚴重后果的郵件幾乎淹沒了用戶郵箱。這些郵件來自自稱能緩解該數據泄露,保護客戶數據,或者推銷客戶根本不需要的一些付費服務的公司。
但因為泄露的破壞性很小,被盜信息也基本上是公開的,所以受影響客戶基本沒什么安全風險。
數據泄露值得汲取的兩個經驗教訓:
(1) 所謂的幫助,尤其是那些數據泄露聲明放出后不久發來的,基本上沒什么用。
用戶郵箱中收到的各式各樣幫助郵件,通常來自于除了高價通用建議以外并沒有什么有用措施可以提供的公司。
(2) 數據泄露并非全都影響甚廣,也有沒人遭受侵害,且各方都負責任地加以處理的情況。
T-Mobile案例中,母公司德國電信位于歐洲,所以要遵守GDPR有關數據泄露的要求。
雖然歐洲半數國家及聯邦政府都有及時向公眾或股東報告數據泄露的要求,GDPR是嚴格規定了數據泄露事件必須在72小時內報告當局,T-Mobile遵守了該要求。
GDPR還要求數據泄露的主體,本案例中也就是客戶,要接到“沒有不當延遲”的通知。T-Mobile通過向每一位受影響人士發送短信通知做到了這一點。
雖然T-Mobile美國是否受GDPR管轄尚未明確,其母公司肯定是要遵從GDPR的,而T-Mobile美國公司顯然遵守了那些規則。該公司還宣稱已經修復了導致泄露的問題。
該案例明顯昭示出歐盟GDPR規則影響到美國移動服務提供商時會發生的情況:公司執行了自己本應遵守的合規操作。
還有一點:T-Mobile表現出了在規定時間內檢測數據泄露、修復漏洞并通知受影響客戶的能力。GDPR在今年5月25日生效后,公司企業冒出的難以遵從快速響應要求的抱怨,相比之下,顯得毫無道理。
如何規劃處理不可避免的安全事件呢?
- 可靠的安全監視顯然應該納入計劃之中,入侵檢測系統也應作為安全組合拳中的一環。另外,還需具備事件發生時的客戶通告計劃,包括公司做了什么,以及公司打算怎么預防類似事件。
- 最好的規劃起點,就是假設公司邊界會被(可能已經被)突破。問問自己,進入公司內部的攻擊者能找到什么?會怎么找到這些東西?如果客戶記錄之類的東西能被入侵者在突破防線后輕易找到,那你要么換個地方放,要么至少通過散列或加密的方法讓這些數據不那么直白可讀。
- 問問自己,攻擊者會怎么將數據從你的網絡中運出去?你有辦法檢測未授權系統的大文件傳輸嗎?黑客常會將數據隱藏在內部網絡的某個地方,直到找到機會滲漏出去。只要知道該到什么地方查找,你就能阻止數據滲漏。
- 最重要的是,要知道你可以阻止數據泄露,不用理會那些解釋自己為什么無法阻止的借口。借口不能防止泄露,但一些主動作為,結合上恰當的計劃,可以阻止數據泄露傷害公司的信譽和盈利。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
