企业警惕垃圾桶带来的数据安全隐患

在生活中,你周围的很多人会有这样的习惯–无论如何都不愿意丢弃那些毫无价值的东西。严格来讲,具备这种习惯(更准确的讲,应该是毛病)的人会被很多心理学专家认为他极有可能患有"强迫性囤积症"。

由于性格古怪的Collyer兄弟事先对信息销毁没有深入的了解和认识,他们竟然毁在了自己煞费苦心收集的重要文件和报纸手中。(Homer Collyer和Langley Collyer是两兄弟,他们都有不愿意扔掉垃圾的习惯,他们屋内堆满了各种报纸、废物。1947年的一天,警察局接到报案说在他们的屋内发现了尸体,于是警察赶到,在费力的进入屋内,他们发现了Homer的尸体,在经过两周的清理垃圾后,Langley的尸体也被找到。)

实际上这种"强迫性囤积症"不仅在生活中有所表现,在IT安全世界里这同样是个极不可取的坏毛病。

虽然很多企业不可能像Homer Collyer和Langley Collyer那样,喜欢收集垃圾和报纸,但是他们也需要保存如下的信息:员工人事档案、财务报表、相关合同等等。鉴于大量的文件和数字媒体随着时间的推移也在不断增加,对于企业来说,有效的信息销毁策略和做法是业务中必不可少的一部分,当然,还可为企业节省时间、精力和法律费用以及减少尴尬的状况发生等等。

2007年12月,联邦贸易委员会将伊利诺斯州诺斯布鲁克市的美国住房抵押贷款公司告上法庭,宣布对其处以5万美元的罚款。联邦贸易委员会指控该公司未能妥善处理含有用户信用记录和个人识别信息的文件,这一做法违反了公平贸易委员会(FTC)的销毁、保障和隐私原则。在宣布这一指控的同时,公平贸易委员会告诫企业们,他们会很严肃地对待这种情况。

如果将5万美元的罚款与因公司的疏忽造成的个人财产损失进行对比,这个数目也许不算多。但是除了美国住房抵押贷款公司的负面公关外,联邦贸易委员会还控诉美国住房抵押贷款公司没有履行审计的义务。在未来的十年内,任何类似的错误再度发生都会让美国住房抵押贷款公司受到更严厉的惩罚,实际上,这是花钱买教训的事情。

在今天的诉讼环境里,很多律师都巴不得将那些未能谨慎处理文件和媒介信息的公司拉下台。

本文将会重点分析如何切实销毁文件和记录,确保企业能尽可能地不要陷入与这些律师打交道的境地。在今后的文中将会详细描述关于销毁数字文件和数字媒体的做法。

每个企业都有必须要销毁的信息

除了税收之外,对每个企业来说同样重要的就是那些高度敏感的不能被未经许可的人看到的信息。然而,我们看到文件在被打印出来的几分钟内就可以被销毁,可能需要人为地对企业规章制度进行存档,少则几年,多则永久。但是在这两种情况下,无论从法律还是信息安全的角度来看,你的企业都可能有大量的硬拷贝数据在占用着空间。

根据员工在公司任职的时间长短以及其他的种种原因,企业需要处理大量的硬拷贝数据。其中有些数据实际上是可以被销毁的。

美国全国公司董事协会(The National Association of Corporate Directors)在"记录保存"和"文件销毁策略"方面提供了一些值得借鉴的准备。在从商标注册、安全记录到退休和养老金记录以及更多的文件信息中,有很多需要被保留。但是一旦保存期限结束,许多这些文件就可以被销毁。

无论从道德立场出发,还是着眼于安全管理的角度,你都应该知道,在保管这些硬拷贝信息之外,许多竞争对手正觊觎着你们即将丢弃的文件。即使你的竞争对手对此表现得漠不关心,也有人会关心着你们的文件,他们企图将这些机密文件出售给你的竞争对手。

对于那些认为垃圾回收是过去时的人们,不妨看看Steve Hunt对大型企业垃圾价值的研究结果。他最近在美国芝加哥做了一个实验,在垃圾堆里发现了机密的电汇信息、一个便携式电脑和其他的宝贵的东西。他的这次"发现之旅"从头到尾仅用时3分钟,最后他建议企业应对自己的垃圾也进行这样的调查。

此外,经济的衰退意味着企业需被迫面对心怀不满的员工,以及那些认为自己工作不保或公司很快就会被淘汰的人。随之而来的是,敏感信息泄露现象也会比以往任何时候都多。

简而言之,有效的文件销毁做法可以防止信息落入坏人之手。恐怕这方面最典型的例子就是,信用卡收费的收据被那些想靠垃圾发财的人从垃圾桶中找到,他们会使用这些信息进行网上或电话订购。许多企业都会不假思索地丢弃这些付款凭据,没有有效的销毁做法。如果不使用这种有效的做法,被非法利用后,面对用户你将会感到极为尴尬,而且还可能发展成为一个公关噩梦或是耗费财力的法律问题。

一旦意识到这个问题,许多企业好像经历膝跳反应一样,开始收集所有硬拷贝,并进行简单地处理。但是很多情况下,这并不能解决问题。

首先,法律需要和企业管理需求,企业需要将这些纸质文件保存起来以备不时之需。此外,直接将东西丢弃的习惯也暴露了企业存在因垃圾而败北的风险。就像前文提到的那样,垃圾堆其实可以摇身一变成为很大的信息资源库。

为什么对日常记录不进行适当的销毁是很危险的事情?另一个原因就是,如果你只是将垃圾丢进垃圾桶,并且很不幸落到了竞争对手的手里,他们就可以很轻易地作出联想,最终了解你们的商业活动。

就像SIM卡可以导致攻击行为一样,垃圾桶也是同样的道理。你的日常活动也同样体现在你的垃圾桶中。在日常的活动中,如果电话记录、出行计划、投标需求(RFP)意见书、备忘录以及更多的东西没有得到正确的销毁,很可能会让你的公司暴露无遗。

如果Enron没有适当地将文件销毁,那些有文件销毁计划的企业应当考虑从互联网上下载媒介处理工具包。该工具包包括企业需要了解的数据处理的任何东西。它包括一个统一共同控制的电子表格,处理过程中的工作故障,以及程序和数据删除管理文件和企业管理必须要符合的全世界上千种的法规和标准。

监管问题

各种各样的规定也必须被考虑周全。举例来说,塞班斯法案(Sarbanes – Oxley)要求将企业的记录和文件销毁,并且必须对文件销毁进行认真检测。否则,企业主管就很可能会受到起诉。

塞班斯法案对企业文件销毁有严格的规定,包括许多针对企业欺诈行为和妨碍司法公正的刑事处罚。塞班斯法案第1102章对以下情况进行定罪,处以罚款,并且可能面临20多年的监禁:改变、破坏或者隐瞒记录、文件或者其它东西,有意破坏官方诉讼所需材料的完整性或者阻扰、妨碍官方诉讼的企图等。塞班斯法案第802章规定:"任何人明知改变、破坏、切割、隐瞒、掩盖、伪造、制造虚假记录、文件或者有形资产的材料的相关规定,仍然企图阻碍、妨碍或者影响司法部门对在美国任何部门或机构的管辖范围内的任何问题进行调查或者适当的管理,或与此相关的情况,应根据本条例处以罚款,给予不超过20年的监禁,或同时给予两项处罚。"

另一个关于处置的相关规章是2003年的《公平和准确信用交易法案》 (FACTA)。制定于2005年6月的本规章要求企业和个人采取适当的措施来处理来源于用户报告的敏感信息。任何企业或个人欲将用户报告用于商业目的都应该服从于该法案的要求。该法案也是FACTA的一部分。

该法案适用于使用用户报告的个人以及无论规模大小的企业,包括:用户报告公司、放款人、保险人、雇主、房东、政府机构、抵押贷款经纪人、汽车经销商、律师、私人侦探、收债人、保姆或承包商等等;以及持有用户报告信息来扮演服务提供者角色,将用户报告交给企业组织等实体的个人,都受本法案约束。

有正式的文件销毁过程和使用如媒介处理工具包产品好处就在于一旦你正确地进行文件销毁,你的企业就不必再为每个新条列而担心,因为这种做法很可能已经满足了即将出台的规章。

硬拷贝应当被正式和定期销毁

设想你是一个大型医疗机构的管理者,一名调查记者或小偷在你们机构发现了1万张医疗记录,你们正面临这很快将被起诉的麻烦。当原告辩护律师问你怎样处理硬拷贝时,你回答:"如果Lenny想这样做的话,他的计算机随时都可以。"这样实际上就昭示了你认罪的态度。相反,你回答说:"我们在外部有担保公司,信息销毁国家协会认可了我们这样的不具备"安全容器"设备的公司,我们每周都会对信息进行一次粉碎。"这样的说法将很可能让你摆脱重大的责任。

不一定非要多长时间对数据进行一次销毁,重要的是你们是否根据企业特定的风险因素进行了正式的销毁。作为有效监管的一部分,正式的信息销毁系统必须被制定并且得到执行。如果能够做到这些,并且能够提供出相应的执照,而且确实在预定时间内对信息进行了销毁,原告辩护律师将无从下手,因此陪审团的裁定也会对你有利。

Purdue大学制定的《机密文件处理程序》和Iowa State大学制定的《文件销毁行动计划》就是两个很好的范例。通过google搜索你会发现更多可对你有所帮助的范例。

正式的信息销毁计划的一个很最重要的方面就是要做到一致性。否则表明企业对此缺乏一定的谨慎,或者他们试图想隐藏什么。

作为这个正式过程中的一部分,还需要意识到有许多因素必须被纳入到数据销毁过程。其一是"数据销毁中止"的概念。如果企业收到法律部门的电子发现请求,事先定下来的数据销毁活动必须立刻被停止,直到法律部门确定销毁活动没有危及到重要数据的安全。

说到正式的处理过程,曾有一个公司使用山羊作为文件粉碎机。从粉碎的角度来看这可能是有效的,但却显然不是最好的做法,律师也不可能同意他们用山羊来粉碎。这家公司的错误不在文件处理程序是否正式,但最终也因山羊吞食文件而遭到罚款。

现在,越来越多的企业使用Shred-it等公司生产的安全容器。这些安全容器让员工随时可以方便地处理不再需要的信息,这是个很好的主意。

安全容器一般有三种大小:

执行控制台:通常在引人瞩目的环境被使用。这种做法节省了很大的办公设备空间,并可键控管理。有以下两个型号:约40×19×19英寸的大容器,这种96加仑的安全容器通常用于大型的文件产品中心、清洗场所、仓库以及业务繁忙的办事处。约43×24×37英寸的容器可以容纳几箱子的废纸。

散装容器:多用于大型的产品中心,产生大量机密数据和一些电子肥料的地方。约38×43×29英寸:可容纳650多磅的废料。

此外,为了提高安全意识,企业还需确保对员工进行适当的销毁敏感材料办法的培训。你需要确保员工将纸放进了这样特定的容器中,而不是丢在了垃圾桶、回收桶或其他公开访问的地点中。同样,要确保员工没有将不需要的材料粉碎在这些桶中。鉴于许多销毁公司以垃圾桶数目或废料重量计费,这些桶中的文件不被送去粉碎一是一种金钱的浪费。

一些企业只在敏感数据方面使用这些安全信息容器,对于高机密和秘密的信息则不使用。这样一来就减少了风险,因为一些人可以入侵锁定的销毁容器,甚至将整个容器偷走,然后在别的地方将容器打开。

文件销毁像其他的服务一样可以在企业内部解决也可以进行外包。这两个中的哪个更好些呢?像作出每个决定一样,正确答案就是那句俗语:"视情况而定"。

目前有两种主要类型的粉碎服务可用:工厂粉碎(异地)和移动粉碎(本地)

移动粉碎:也叫"卡车粉碎"。卡车本身自带粉碎机。卡车粉碎公司在预约时间为用户提供垃圾桶和控制台,卡车到达企业所在地后,用户服务代表(CSR)收集垃圾桶或者控制台袋子,将其放到卡车上,在用户允许的情况下粉碎废料。完成后,CSR将会给用户一份销毁证书。一旦客户的财产被实施粉碎,就可以被认定更安全了,因为没有未被粉碎的东西被落下。通常用户将蹬上卡车查看一下,以确保他们的敏感材料确实被销毁了。

工厂粉碎:这是典型的非现场服务,工厂拥有大型的工业碎纸机。在约定的那天,CSR收集垃圾桶或控制台袋子,将它们放到安全卡车上并载着它们回到偏远的工厂,在那里,将垃圾桶卸到安全领域。收集起来的垃圾桶随后被分阶段进行粉碎,这是接下来几天要做的事情。由于工厂可能不设专人看管文件,所以有人认为这种做法很不安全。另外一个重要的方面是工厂粉碎在对废料分类的时候,可能会发现最大的回收价值,这将会使你的公司陷入危险。一些异地的粉碎公司实际上只是美化了的垃圾回收公司,他们可以从回收纸张(你的纸张)中得到最大的金钱利益。因为他们的工作人员将对文件进行分类,他们有机会得到更多的金钱利益。所以在你选择工厂服务之前,确保你已经如前所述的那样对其进行了调查。

在与外包商合作的时候,要确保他们通过了国家信息销毁协会(NAID)的认证。NAID是个对销毁公司进行认证的独立组织。他在22个关键领域对销毁公司进行审核,包括其中的每一件事情,从粉碎规模到员工背景调查。一些不择手段的销毁公司为了做你这笔生意会声称自己通过了NAID的认证,请务必像他们索取NAID认证证书,以证明他们的地位。

所以我怎样才能给出正确的解决方案呢?实际上,两个解决方案都有潜在的安全问题。移动粉碎的整个过程中都有CSR在场监督,一旦CSR有机会独自一人留在卡车上,他们可能会得到你的机密材料。以工厂为基础的粉碎办法,在分类过程中各工厂都有可能获得材料。纸张分类员可以将在他看来有用的敏感文件悄悄藏起来,随后带走。

信息销毁工作最基本的是无论采取哪个解决方案都需要有一定的相互信任,但是哪个解决方案最安全的决定一定要让用户自己来做。这个决定应该是安全与成本权衡之后的结果。

第三个解决方案是自行粉碎。然而,这在短期内看来可能价格更低廉,但是长久下去它往往会变得更昂贵。并且如果在内部进行销毁,企业必须有相关政策和程序来确保使用的是被批准的销毁方法(包括被信息安全部门批准的粉碎机或者其他设备)对敏感信息进行销毁。

无论使用移动粉碎服务还是工厂粉碎服务,都应该确保该服务提供者持有NAID证书,并且所有的文件在被彻底销毁前都始终是安全。这里有个好的建议,要确保文件在24小时内被彻底销毁,并且结束后可提供销毁证书。

显然,今天全世界的人们都把文件销毁看作完善业务流程中的一个不可缺少的环节。本文只介绍了这一业务流程的开始。在今后的文章中将会进入更深入技术的领域,例如,粉碎规模、数字媒体等更多的东西。

需要明确的一个前提是如果你的企业对待自己不能处理的信息不够谨慎,这将是让你们的竞争对手欢呼雀跃的事情,而给你们自己留下的只能是最严重的企业噩梦。

背景资料:

Enron

Enron Corporation,安然公司。原是世界上最大的综合性天然气和电力公司之一,在北美地区是头号天然气和电力批发销售商。)


《公平和准确信用交易法案》

从2003年12月起,该法正式生效,该法案对已有的《公平信用交易法案》进行了修订,在新的条款中,Experian、Equifax和Trans Union三家全国性的消费者信息公司被要求每12个月免费向消费者提供其信用报告的复印件,另外,该法案要求建立一个可供消费者免费获取信用报告的集中式信息资源系统,该系统包括一个免费的网站,一个开通免费热线电话的客服中心,该集中式信息资源系统建设将从2004年12月1日开始,并在此后的9个月内完成。