数据泄露审计发现了什么

  当波士顿的一家中型制药公司的IT经理第一次被要求参加一次数据泄露审计时,他感到非常兴奋。他认为审计将发现公司数据泄露防线存在的薄弱环节,然后他能够利用审计结果获得用于购买安全资源的资金。
  令人震惊的数据
  这位IT经理说:“数据泄露是个在负面事件发生前得不到很多关注的领域。你最大的希望就是当你引起人们对数据脆弱性的担心时,一些人会看到允许你采取行动,保护数据的价值。”
  可是他得到的结果超出了他的预期。长达15天的审计共发现了11000次潜在的数据泄露,暴露了IT团队在安全实践中存在的漏洞。
  这次由马萨诸塞州Hudson市Networks Unlimited进行的审计对发往公司之外的电子邮件、FTP和Web通信进行了分析。审计的目标是一般财务信息、公司计划与战略、雇员与其他人员可识别信息、知识产权和专有流程的泄露。
  Networks Unlimited在企业LAN与防火墙之间接了条线,在外部电子邮件网关与防火墙之间接了第二条线。Networks Unlimited利用安装在两台服务器上的WebSense软件监视未加密的传输流。然后,它遵照公司政策分析传输流。具体地说,Networks Unlimited寻找违反制药公司内部保密政策、企业信息安全政策、马萨诸塞隐私法(将于2010年生效)、医疗保险便携与责任法(HIPAA)以及证券交易委员会和Sarbanes-Oxley法规的行为。
  Networks Unlimited公司审计员–高级工程师Jason Spinosa说,在他选择这次审计的标准时,他一般建议公司花点时间根据它们的风险预测确定自己的政策设置。
  这就是说,Spinosa对他发现的情况感到震惊――700多次泄露关键信息(如社会保险号、价格、财务信息和其他违反支付卡行业标准的敏感数据)。他还发现了违反HIPAA和国防部信息保险认证规则的严重的失误,共有4000多次。
  虽然该公司从技术上讲不属于HIPAA的管辖范围,因为一家第三方机构负责处理所有的患者信息,但这位IT经理说他们希望未来将一些患者信息处理功能引入到公司内部,因此应当做好准备。此外,Spinosa表示,由于可能泄露敏感的雇员数据,不在HIPAA管辖之列的公司也应当根据HIPAA指导方针进行审计。
  令人难以置信的是,这次审计发现了1,000多次未加密的口令传播的事件,如访问个人的基于Web的电子邮件账户。Spinosa称这种情况很麻烦,因为雇员常常使用同样的口令访问多种系统。他说:“这可能会让你的内部应用变得非常脆弱。”
  拥有还不够
  当这位IT经理、公司CIO和风险经理以及IT团其他成员专心听Networks Unlimited介绍它的发现时,有一种很不安的感觉。
  这位IT经理说:“对于我们来说,最大的事情就是保护我们知识产权的安全,包括专利。制药行业中的信息泄露不仅会导致巨额罚金,而且还会造成不良的公共关系,因此我们必须保护自己。”
  尽管公司CIO发现这些例子令人不安,但他说这些事件全都发生在6小时之内的事实是不可宽恕的。他说:“我们曾认为一切良好。我们为迎接马萨诸塞隐私法的实施做准备时进行了内部和外部审计,我们进行了全面的渗透测试,我们部署了像入侵检测与防御和便携机加密等工具,并且我们在进行雇员培训。这只是证明你可以做所有这一切,但这还不够。”
  改变现状
  Spinosa建议制药公司采取双管齐下的方式,重新审查业务流程和技术防御措施。他说:“目前,他们处理秘密信息的方式使他们面临引起法律、法规和业务合作伙伴负面反应的风险。”
  不过,他补充说,他发现的所有事件都很容易预防。他建议企业不要依赖用户或业务合作伙伴正确行事。相反,企业应当实现加密的自动化。例如,这家公司应当将传输层安全功能(已经用于保护公司与FDA通信的安全)的使用范围扩大到向其他业务合作伙伴传送的敏感文档。
  此外,这家公司应当部署自动检测和加密包含秘密信息(如专利和临床试验结果)的信件的安全电子邮件产品。Spinosa说,这类产品还向发信人(包括业务合作伙伴)发出谁试图发送未加密的保密信息的报警。
  最重要的是,企业应当定期对自己的网络进行审计,以确保安全政策得到执行。在部署安全自动化的同时,Spinosa建议对用户和业务合作伙伴进行教育。公司应当经常培训用户了解敏感数据泄露的影响。它们还应当解释被认为是秘密信息的信息类型。新法规(如马萨诸塞隐私法)的出现提供了教育雇员了解各种相关法规的机会。
  最后,公司只应当与懂得如何安全地交换信息的公司做生意。这家制药公司的CIO认为他必须将所有这些建议变为规定,甚至说他部署了大部分加密技术,并准备使用。不过,他说,如果缺少来自像COO、CFO和首席医学官等高级经理的支持,这将一事无成。
  因此,他的首要任务是进行采用更细粒度的搜索条件的更深入的审计,以消除潜在的误报以及向管理团队提供审计结果。他说:“如果我能够教育管理团队,向他们证明风险,这将使我的工作变得更加容易。”
  这次审计发现的一些数据泄露事件
  头号数据泄露:秘密zip文件
  一名雇员发送的电子邮件的。zip附件内含明确标有“秘密”等级的文档。尽管电子邮件接收者签署了不透露保密协议,但企业应该加密所有机密文档。
  可能导致的严重后果:这封电子邮件可能被第三方截获和阅读。由于附件内容的微妙性质,这还构成了潜在的HIPAA违规行为。
  2号数据泄露:秘密附件
  一位雇员给一家外部厂商发了一封电子邮件。标着“秘密”标记的电子邮件附件讨论了一位参与一项临床试验的患者的权利和补偿。
  可能导致的严重后果:这封邮件暴露了一份尚未完成的机密文档的细节,该细节可能让公司处于不利地位。
  3号数据泄露:临床研究
  一名雇员将一份几乎完成了的临床研究报告附在一封发给外部厂商的未加密的邮件内。
  可能导致的严重后果:可能在公司打算公布临床研究结果之前就泄露研究结果。
  4号数据泄露:敏感的电子报表
  一名雇员将敏感的雇员薪酬数据发送给一家外部调研公司。作为附件的电子报表中包含工资、奖金、销售额、股票期权、行权价格以及其他信息。
  可能导致的严重后果:间接违反马萨诸塞隐私法和泄露这类信息可能导致竞争和公关噩梦。(美国…专稿)