如今令人担忧的是个人信息失窃和资料外泄,遗憾的是,一份最新的CFO IT调查结果显示,CFO们也许并未充分关注这一日渐显现的威胁。窃取个人信息被称为美国目前增长最快的白领犯罪,它不仅是消费者和金融机构面临的一个问题,而且对任何使用电脑和互联网的企业都构成了实实在在的威胁。
个人信息窃贼若有了贵公司雇员的用户名和密码,就可以畅通无阻地进入公司的电脑系统。梅塔集团(Meta Group)的项目主管彼得·福斯特布洛克(Peter Firstbrook)说:“获取某人的密码其实是以一种较为‘优雅’的方式袭击企业,就像用偷来的钥匙启动汽车——不砸碎车窗,不触动警报,完全有可能不为任何人注意。”
窃取用户名和密码相当容易,而有意犯罪的人甚至不必亲自这么做。安全专家和相关研究表明,目前已有近数万个网站专为偷盗和买卖个人信息而设。事实上,窃取个人信息已成为一宗大买卖,大到足以吸引有组织的国际性犯罪集团。
资料失窃造成的潜在危害大大超过被窃资料本身的价值。福里斯特市场调查机构(Forrester Research)的市场分析师乔纳森·佩恩(Jonathan Penn)声称,由于担心个人信息失窃,消费者对于在网上开展商务活动的信心正在减弱。他说:“出于安全方面的顾虑,人们正远离网上银行业务。除欺诈造成的损失之外,如果将信息失窃对个人网上金融业务发展的影响也考虑进去,你会突然发现这个问题造成的损失其实高达上万亿美元。”
很少有人会认为CFO身处电脑安全防卫的前线,但企业名誉可能遭到的伤害、未能保护敏感资料所致的罚款威胁,以及企业可能蒙受的财务损失,这些都令资料保护成为风险管理的一个重要方面。一些CFO知道这一点,企业也确实不断地投入巨资维护电脑安全,但他们对现实状况的认识还是有些滞后。
窃贼采用几种简单、直接的技术来盗取个人信息:从邮件中攫取包含社会保障号码和其他个人资料的文件;偷盗存有身份信息的电脑;侵入企业数据库;从其他窃贼那里购买个人信息;贿赂企业内部人员,让后者提供客户和雇员资料的打印件;翻检垃圾箱,以寻找人事文件;诱骗消费者和雇员把自己的用户名和密码通过电子邮件或链接传到假的网站,这一过程被称为“网页仿冒”(phishing)(见框内文字:网页仿冒)。他们还使用窥探装置来捕获键盘输入的信息,这是一种在人们输入个人数据时进行偷窥的高科技手段。
多数企业在遏制个人信息被窥方面做得很少。很多企业甚至为偷盗提供了方便,比如说,把社会保障号码打印在各种容易被盗的文件和身份证上。 “我们必须在要安全还是要便利的问题上有所侧重,”佩恩说,“我们需要重新评估自己的立场。”
有人认为,这种重新评估最终将归于财务问题。Entrust Inc.是一家数码个人信息软件及服务供应商,总部位于得克萨斯州艾迪逊,公司总裁、董事长兼首席执行官比尔·康纳(Bill Conner)说:“在处理合规问题上,CFO扮演着关键角色。法律人士掌管合规事务,业务部门的人管理业务,另一块事务也许由首席安全官来负责,但平衡资产负债和盈亏状况,以及涉及萨奥法案的种种合规事务,还是要靠CFO。”
在围绕这一话题的所有数据中,美国联邦贸易委员会(Federal Trade Commission)的统计数字也许最令人有紧迫感。据该委员会统计,2003年,个人信息失窃导致美国企业及金融机构损失近480亿美元;同年,近13%的美国消费者(约990万人)的个人信息被滥用。个人信息失窃导致企业在每名受害者身上平均损失达1.02万美元。处理所有这些信息失窃行为导致的后果花了多少时间呢?2003年为近3亿小时。
若要拥有另一个人的足够信息以冒充他的身份,就要拥有完全空白的支票。身份窃贼不单利用其他人的信用卡号码来买东西,他们还利用假身份避免识破,从事洗钱、贩毒和非法移民交易,并为恐怖活动提供资金。朱迪思·柯林斯(Judith Collins)是密歇根州大学刑事司法学教授,也是《防止商业活动中的身份被盗》(Preventing Identity Theft in Your Business)一书的作者。他说:“我们恰恰为消费者身份的窃贼提供了各种机会。”梅塔集团的福斯特布洛克补充说,挑战在于“在这件事上你看不到头。你必须不断在新的威胁来临之前提醒员工,并教导他们如何防范。”
还有整个企业身份遭窃的情况。在最近发生的一场骗局中,窃贼以50家真实公司的名义开设了假的信用卡服务帐户,其中大部分公司的规模都很小。窃贼设立了一个假网站,盗用消费者信用卡号码从虚假的交易中收钱,并把资金转入假的公司帐户,随后取出现金。T-Data是受骗的公司之一,这是一家总部位于纽约的小型软件公司,它的损失额总计达1.5万美元。优利系统(Unisys Corp.)的企业解决方案工程师约翰·皮朗蒂(John Pironti)评论说:“坏家伙不再盯住个人,而是瞄准企业群体和全体网络用户,以便造成更大的影响。”
事关不信任
这类犯罪也因其损害了消费者信心而对企业构成危险。AMIC调查公司(AMIC Research Inc.)是一家面向金融服务行业的安全技术供应商,总部位于新泽西州泽西城。该公司首席技术官理查德·奥康耐尔(Richard O’Connell)说:“尽管网上银行业的发展是大势所趋,但也许在不久的将来这一趋势会暂时陷入停顿,因为人们担心会发生一些可怕的事,这种担心将严重阻碍网上银行业的发展。”消费者调查确实显示,有关身份失窃的顾虑妨碍了网上银行业被更多的人所接受。
企业若被人知道已成为窃取个人信息的对象,就会发现难以维持客户、供应商及合作伙伴对其的信任。非赢利性机构个人信息失窃资源中心(Identity Theft Resource Center)的联席执行董事琳达·高曼弗莱(Linda Goldman-Foley)说:“钱可以再赚,但你的声誉值多少钱?”
IT服务供应商电子资讯系统有限公司(EDS)的安全及隐私服务主管丽贝卡·惠特纳(Rebecca Whitener)说:“如果你公司的名字和导致特定个人信息泄露的重大安全侵犯事件扯在一起,那真是一场噩梦。”一家为富国银行(Wells Fargo)印制贷款书的公司电脑失窃,这些电脑包含了客户资料,于是富国银行让受害客户免费加入该银行身份保护程序一年,同时在公司网站上增加安全信息,并推出一项免费拨打的电话服务,为客户提供防欺诈的建议。
一旦成为身份失窃的受害者,公司也许会发现自己成为被诉讼的对象。例如,加拿大航空公司(Air Canada)和西捷航空公司(WestJet Airlines)正身陷一宗涉嫌窃取个人信息和企业间谍的法律诉讼案。加航指控说,西捷的官员盗用一名加航前雇员的个人身份,成千上万次进入加航的私人网站,收集有关航线和市场的信息。加航在起诉中要求西捷支付400万美元惩罚性赔偿金,并为加航的收入和利润损失支付相关赔偿金。
虽然窃取个人信息是近年来才出现的犯罪行为,但联邦和州立法律都提供了一些援救和保护措施,其中包括被广泛宣扬的加州SB1386法案。该法案规定,如果企业的电脑系统遭到入侵,而信息未加密,那么企业必须知会所有受影响的个人。但专家们警告说,其中有些法律为针对企业的集体诉讼提供了机会。
尽管大部分有关窃取个人信息的媒体报道都强调消费者个人的角度,但据多数人提供的信息,50%-70%的个人信息失窃发生在工作场所,而且随着窃取个人信息的性质从简单诈骗转变为采取复杂的手段进行欺诈,上述比例可能还会提高。
信息在哪里
安全专家称,在个别企业内部,最脆弱的部门或职能性环节是人力资源部门。原因何在?套用银行盗贼威利·萨顿(Willie Sutton)的话,因为身份信息就在那里。同时,很多人力资源部门使用临时雇员,而那些人并不总是受到出于安全考虑而进行的筛选。克罗公司(Kroll Inc.)负责欺诈解决方案的副总裁特洛伊·艾伦(Troy Allen)建议说:“任何在人事部门工作的人,或任何能获得私人资料的人,都应受到彻底的背景审查,这种审查要由一家知名公司进行,而不是由一家容易让人蒙混过关的、收费低廉的公司来做。”
同样,随着离岸业务日益增加,一些专家认为,应当为外包商设立一项类似的审查程序。密歇根州立大学的柯林斯说:“我们应该要求境外企业采用、贯彻并执行统一的身份安全标准。”
另一个问题是社会保障号码的广泛使用(一些人会称之为‘滥用’)。这些由9个数字组合而成的号码在各种公司文件和身份证上出现,而且常常在客户支持电话服务中被用来识别呼叫者。银行、电话公司、公用事业机构,乃至有线电视运营商都例行公事地要求打电话来的人提供其社会保障号码。对消费者而言,这就意味着,他们最容易被盗用的个人身份信息正以他们无法控制的方式、被一些他们无法辨别的人使用和散布。
你不只是一个数字
一些企业已开始采取行动。在IBM,首席隐私官哈里特·皮尔森(Harriet Pearson)领导了一场在公司及保健系统中减少员工社会保障号码使用的行动。
2000年皮尔森出任首席隐私官时,社会保障号码的过多使用是雇员们顾虑最大的问题。作为回应,皮尔森开始在IBM内部发起一场行动,以解决这个问题。该行动规定,在雇员保健计划中,将社会保障号码从人员身份证及其他频繁共享的项目中取消。皮尔森还同政府官员及其他专家接洽,后者告诉她,最好的做法就是干脆停止使用社会保障号码。
于是,皮尔森和IBM的人事管理者以及公司的医疗保险供应商合作,将社会保障号码从发给员工及其附属人,还有退休员工的约50万份保健身份证中取消。所有医保供应商都照皮尔森的要求做了。皮尔森平时与IBM的高级领导层交流,她说,她们进行了一项对现状中的不足之处的分析,以确定现行政策是否足以确保既定目标的完成。一旦发现需要进行调整的话,来自高层领导的支持将是关键。
通用汽车(General Motors)打算在2006年前把对终端用户身份的管理服务融入一个全球体系。通用汽车的目标是为约50万名员工、供应商、承包商和其他业务伙伴提供一次性登录该公司系统的能力。一次性登录是如今电脑安全领域的一个热门概念,它是指一种软件程序,允许用户只输入一个用户名和密码,即可使用多项应用服务。这对雇员来说就方便多了,因为这样他们就不必记很多密码(或者把密码记在便帖上)。同时,通用汽车的网络管理员也能加强对系统的控制,并有更大的安全保障。但这种系统也暗示了实施安全防卫的复杂性:由于只需记住一个密码,因此员工也许会被要求经常更换这个密码,以至于他们总是拥到服务台,要求服务台提醒自己最新设的密码是什么;而窃贼则可以利用偷来的密码进入更多系统。
摩托罗拉公司(Motorola)采用一种过滤软件。这种软件有助于拦截大多数不需要的电子邮件,不仅能帮助员工避免收件箱超负荷,而且也成为首席信息安全官威廉·波尼(William Boni)采取的公司安全防护措施的重要部分。摩托罗拉的全球网络为近50个国家逾6.5万名员工提供支持。据波尼称,很多员工都已成为网页仿冒行为的攻击对象,这种行为旨在窃取密码和其他个人信息。摩托罗拉使用的这种拦截不良邮件的软件工具非常有效。但尽管如此,少量盗窃行为仍有可能造成严重破坏。波尼说:“这种垃圾邮件过滤器可消灭99%入侵的不良邮件,但剩下的1%照样可以造成毁灭性的效果。”
为填漏补缺,摩托罗拉尽力确保其雇员都能意识到风险的存在。波尼说:“对我们而言,窃取个人信息问题首先是个教育问题。”在重要的内部网页上张贴讯息,通过摩托罗拉企业在线大学为员工提供有关网络风险的培训课程,并发送电子邮件来提醒员工提防窃取个人信息的危险,这些都已成为摩托罗拉公司日常工作的一部分。
佛罗里达州金融服务部负责人汤姆·盖勒弗尔(Tom Gallagher)说,安全教育对于该州来说也非常重要,因为该州拥有较年长的人口,这为诈骗者提供了丰富的目标资源。盖勒弗尔及其同事已发起了几项反窃取个人信息的行动,其中包括设立一个网站(http://myfloridalegal.com/identitytheft),为身份遭窃者提供帮助。盖勒弗尔说:“在一个自由、开放的社会中,你能做的大概就是为人们提供良好的教育,让他们懂得如何保护自己。如果他们不愿听从建议,那就很有可能受到伤害。”
CFO IT 曾询问一些高级财务主管,哪种趋势有望造就成本更低的电脑安全措施。多数人的回答是:新科技的发展。电脑业正在为此努力;生物统计技术领域也不断出现新的技术,这种技术以各种独一无二的特征取代密码来识别个人身份。虽然这些动向让人看到希望,但密歇根州立大学的柯林斯指出:“每出现一种新技术,犯罪者都会找到方法绕过这种技术。”如果把电脑安全比作军备竞赛,那么等待百发百中的银弹的出现可不是明智的选择。
摩托罗拉的波尼表示,公司应当从风险的角度,而不光是科技的角度来谈论窃取个人信息的问题,这点非常重要。“过去我们很多人在讨论IT问题时,将其纳入技术范畴,而不将其视为商业问题。这就像你和医生进行谈话:他会给你所有的建议,有关你该做什么,或改变什么才能更加健康,而最终由你来决定采纳哪些建议。你可能会答应多运动,但不愿放弃吃牛羊肉。”
以此推之,企业必须具有比以往更高的安全意识。