如何避免因第三方供应商而导致数据泄漏

在过去几个月中,一系列的重大数据泄漏事故泄漏了数百万客户的重要信息。在12月初,麦当劳公司透露,其第三方电子邮件营销供应商的数据泄漏导致130万客户的数据记录被曝光。另外该公司在一份声明中表示,“这次数据泄漏事故涉及限制级客户信息,包括姓名、地址、电话号码、出生日期和性别”。还有消息称,第三方营销服务公司SilverPop的泄漏事故还造成了本田及其Acura子公司490万个帐户的泄漏,还有Walgreens公司的客户电子邮件地址也被泄漏。

“现在云计算服务的使用越来越普遍,作为外包服务的用户,大家对于安全问题都非常担心,”分析公司Gartner公司副总裁Avivah Litan表示,“这些泄漏事故只是让大家更加担心第三方供应商服务了。”

虽然这些泄漏事故严重程度远远比不上2007年零售商TJX公司以及2008年Heartland支付系统公司遭遇的重大安全泄漏事故,但是这些事故凸显了使用第三方供应商的危险性,这些第三方供应商的安全性往往无法验证或者被证明。Litan建议说,考虑选择在线服务供应商的企业最好检查这个公司的安全情况。

“很多公司对于将身份验证操作转移到云服务都感到非常担心,除非他们真的真的非常满意供应商以及他们的安全状况,”她表示,“然而,不幸的是,对于第三方供应商是否安全的问题并没有可靠的标准,所以企业自己需要进行充分的调查工作。”

虽然,对于需要处理信用卡信息和财务数据的企业,需要符合支付卡行业数据安全标准(PCI-DSS),但是对于保护个人识别信息(PII)方面却没有一套专门的标准。那些使用与PCI相同的标准的企业也不一定能够提供良好的安全性,他们在很多情况下只是进行基本的检查,分析公司The 451 Group公司的研究主管Josh Corman表示。

“我们知道的是,企业仍然在遭受数据泄漏事故,我们并不知道其他方面是否会变更好或者更坏,”他表示。

根据Verizon的数据泄漏调查报告2010显示,将近10家遭遇数据泄漏事故的公司中有8家是符合支付卡行业数据安全标准的,但是在泄漏事故发生的时候并没有符合标准。

持有客户数据的企业应该要使用网络应用程序防火墙,使用安全措施开发软件,并且着重于关键服务器的白名单技术,451公司的Corman表示。Verizon报告发现,97%被泄漏的数据都涉及自定义恶意程序攻击,而94%的泄漏数据则涉及web应用程序漏洞,例如SQL注入漏洞。

最后,处理信用卡数据和个人识别信息的企业可以通过限制服务器的数量和可以访问这些数据的人的数量来预防数据泄漏。另外,将关键数据保存在自己公司的服务器上,而不是交给第三方,这样企业可以保留对这些数据的控制权。

“这是整个Web 2.0模式存在的问题,整个云模式,你的控制范围被缩小了,”Corman表示,“有时候你能做的最好的就是重新划定控制的范围。”

Gawker泄漏事故就是一个很好的例子。虽然黑客们攻击了130万个帐户,但是使用Facebook Connect(Facebook用户身份验证系统)的用户就不需要担心,因为他们的登录凭证信息并没有保存在Gawker系统中。身份管理系统、令牌,以及其他集中管理重要数据的技术可以最大限度地减小个人信息在安全泄漏事故中被泄漏的可能。

最后,从运作角度来看,可能企业不需要为客户数据的安全负责任,但是从法律上和道义上来看,企业必须实施控制。

“这也许不是你的错,但这仍然是你的问题,”他表示。