就拿前兩年索尼數據庫被盜來說,為人詬病的一點是黑客從索尼數據庫裡拖出了上百T的數據,即使是千兆寬帶的速度也要拖上幾十天。持續時間如此之長的異常流量波動,竟然沒有被索尼的日常運維監測到。
黑客所做的,往往是長期潛伏尋找漏洞,一旦找到就用最短的時間獲取儘可能多的數據,直到自己的訪問被禁止或漏洞被填補。如果那些善於防追蹤的入侵者遇上了索尼這樣網絡安全技術欠佳的天然呆企業,後者可能會等到自己的數據在暗網上氾濫之後,才後知後覺的意識到發生了什麼。
現在我們知道了,網絡安全問題的威脅程度很大一部分都取決於操作速度。那麼有沒有什麼辦法,讓入侵者的速度慢下來?
企業信息洩露的成本有多低?最高罰款不過百萬
不過就目前來看,真正應用上密碼錨定的企業還不算多。除了Docker之外,還有移動支付企業Square,以及Facebook(劃重點)和Uber。
其中一部分原因在於接入硬件模塊的成本,當企業意識到數據安全時,必然是已經建立好數據庫的時候。這時再以硬件方式進行耦合和加密,往往需要耗費大量的時間和金錢成本。讓企業花費這麼多去交換一個抓住正在駭侵中黑客的機會,的確應該多加考慮。
當然,Facebook這次信息洩露和密碼錨定以及任何網絡安全技術無關,這次洩露甚至沒有黑客參與,僅僅是因為不當的第三方授權模式,才讓其他企業得到了用戶的數據。Facebook和Uber對密碼錨定的應用很可能是在支付方面。
不過這也揭示了一種現象,在平時,幾乎沒有任何人能感知到企業對信息安全的高成本投入,可一旦出現信息洩露事件,企業此前的努力就會被毀於一旦。最後形成了一種極端的結果:企業與其花重金提升信息安全水平,不如把費用留在出事後的公關上。
想要解決這種狀況,恐怕就需要所有人一起努力了。
比如當民眾的信息越來越多的被獲取時,政府可以加強對企業信息保護措施的硬性要求,並加強信息洩露後的追責和懲罰。目前我國的中華人民共和國網絡安全法中,對涉事企業以及企業中個人的懲罰罰款最高也只有一百萬。一家大企業每年花在安全運維上的費用就早已超過了這個數目。
而我們自己能做到的,或許就是在洩露事故發生後與企業的洗地行為進行對抗,加大企業發生信息洩露事件的成本,讓企業知道信息洩露不是交幾十萬罰款、找公關洗洗地就能解決的事。和這次Facebook事件一樣,用戶的發聲和選擇,可能會讓信息洩露成為企業中的一場颶風。
如果類似的事件發生在中國網民身上,請不要忘記、不要沉默。
