就拿前两年索尼数据库被盗来说,为人诟病的一点是黑客从索尼数据库里拖出了上百T的数据,即使是千兆宽带的速度也要拖上几十天。持续时间如此之长的异常流量波动,竟然没有被索尼的日常运维监测到。
黑客所做的,往往是长期潜伏寻找漏洞,一旦找到就用最短的时间获取尽可能多的数据,直到自己的访问被禁止或漏洞被填补。如果那些善于防追踪的入侵者遇上了索尼这样网络安全技术欠佳的天然呆企业,后者可能会等到自己的数据在暗网上泛滥之后,才后知后觉的意识到发生了什么。
现在我们知道了,网络安全问题的威胁程度很大一部分都取决于操作速度。那么有没有什么办法,让入侵者的速度慢下来?
企业信息泄露的成本有多低?最高罚款不过百万
不过就目前来看,真正应用上密码锚定的企业还不算多。除了Docker之外,还有移动支付企业Square,以及Facebook(划重点)和Uber。
其中一部分原因在于接入硬件模块的成本,当企业意识到数据安全时,必然是已经建立好数据库的时候。这时再以硬件方式进行耦合和加密,往往需要耗费大量的时间和金钱成本。让企业花费这么多去交换一个抓住正在骇侵中黑客的机会,的确应该多加考虑。
当然,Facebook这次信息泄露和密码锚定以及任何网络安全技术无关,这次泄露甚至没有黑客参与,仅仅是因为不当的第三方授权模式,才让其他企业得到了用户的数据。Facebook和Uber对密码锚定的应用很可能是在支付方面。
不过这也揭示了一种现象,在平时,几乎没有任何人能感知到企业对信息安全的高成本投入,可一旦出现信息泄露事件,企业此前的努力就会被毁于一旦。最后形成了一种极端的结果:企业与其花重金提升信息安全水平,不如把费用留在出事后的公关上。
想要解决这种状况,恐怕就需要所有人一起努力了。
比如当民众的信息越来越多的被获取时,政府可以加强对企业信息保护措施的硬性要求,并加强信息泄露后的追责和惩罚。目前我国的中华人民共和国网络安全法中,对涉事企业以及企业中个人的惩罚罚款最高也只有一百万。一家大企业每年花在安全运维上的费用就早已超过了这个数目。
而我们自己能做到的,或许就是在泄露事故发生后与企业的洗地行为进行对抗,加大企业发生信息泄露事件的成本,让企业知道信息泄露不是交几十万罚款、找公关洗洗地就能解决的事。和这次Facebook事件一样,用户的发声和选择,可能会让信息泄露成为企业中的一场飓风。
如果类似的事件发生在中国网民身上,请不要忘记、不要沉默。
