作为人事管理办公室主任,Katherine Archuleta成为最新一轮数据泄露事故的受害者——但她绝不是惟一一位被犯罪分子所攻击的管理人员。时至今日,我们甚至可以说,安全从业人员的自身岗位几乎毫无安全性可言。
人事管理办公室前主任Katherine Archuleta在2014年美国农业部的一次会议上发言。
作为安身立命之本,很多人选择将数据安全保护作为毕生事业。但结果如何?
虽然不像CEO、CIO或者CTO那样责任重大且工作繁忙,但这些高管本身并不需要直接负责IT安全事务。绝大多数管理者甚至干脆对安全一无所知。
不过在当下这个网络世界当中,IT安全已经成为企业获得业务成功的必要基础,而一旦出现问题、责任也将由企业中的各个层级共同承担。有鉴于此,组织内的领导者们可能更倾向于着眼大局,而不愿涉足安全这块职责重但却地位低的“贫瘠之地”。
作为人事管理办公室主任,Katherine Archuleta成为最新一轮数据泄露事故的受害者——但她绝不是惟一一位被犯罪分子所攻击的管理人员。她在上周五辞职之后透露称,黑客共窃取了政府背景调查所收集到的2150万民众的个人信息。她所在的机构此前还曾经指出,超过420万名联邦政府工作人员的个人信息亦遭到窃取。
在2015年5月进行的一次面向350家企业的调查当中,IBM与Ponemon Institute发现数据泄露事故所造成的平均损失已经由去年的352万美元增长到如今的379万美元。每条包含敏感数据的记录在丢失或遭到窃取时所造成的损失亦由去年的145美元增加至154美元。以上数字为全球水平。而着眼于美国本土,每条敏感数据记录带来的泄露损失更是高达217美元。
通过这一标准进行计算,此次人力管理办公室所丢失的2570万条记录很可能造成高达56亿美元的巨额损失。这一数字还很可能有相当一部分被纳入2016财年总值140亿美元的网络安全预算当中。毕竟人力管理办公室所泄露的数据很可能给美国国家安全造成长期而严重的负面影响。
单纯的经济损失数字还不足以帮助我们了解受害者对于数据泄露事故的焦虑,我们也很难从中看到哪些个人或者从业者应该为如此庞大的损失负起责任。
数据泄露事故的受害者们则往往非常无辜,因为欺诈乃至身份窃取活动往往是由于其他人的失误、无知或者失职所造成。但与此同时,我们又难免要对那些使用着存在固有安全缺陷的系统方案及相关员工的管理者产生同情之心。而之所以一部分人能够在工作当中取得成功,完全是因为大部分同行的水平太过低下——但在安全领域,还恰恰有很多人仍在秉持着这样得过且过的侥幸心理。
如果大家认真查阅过曾经遭受过黑客攻击的企业名单,就会发现即使是技术实力最强的组织也承受不住资金充实的恶意人士的轮番轰炸。2014年,美国联邦调查局局长James Comey曾经明确指出:“目前美国国内只有两种大型企业。一种已经受到了来自中国的网络攻击,另一种则还没意识到自身已经受到了来自中国的网络攻击。”
很明显,黑客绝不仅仅来自中国,在世界诸国内也所在多有。
考虑到IT系统当中存在的安全隐患,各位CEO、CIO或者CTO最好提前写好辞呈,在里面就人人谈而色变的“无法预见”的数据泄露问题做一番反省。这倒不是提倡大家坐以待毙,而是希望通过这种方式强调优先考量安全议题的必要性与迫切性。
如果我们运气好点、工作努力点,也许这封辞呈永远也派不上用场。不过事实证明,很多高管人士都没能逃过这一劫数。在今天的文章中,我们将共同见证多位由于安全问题而断送了前程的企业管理者。也许大家能够从中总结出教训,但也许我们都不过是在这种恐怖的阴影中挣扎求存。