企业安全高管表示,提供低成本电脑服务的外包公司正成为打击网络犯罪的最薄弱环节”。
随着云计算服务的增加,企业聘用分包商以减少成本的长期趋势有所增强。云计算扩大了可以外包的IT工作的范围,但为黑客创造了新的机会。
通用电气(GE)旗下的通用电气金融(GE Capital)首席隐私主管奥利•迪恩斯坦(Orrie Dinstein)表示,一些服务供应商在处理敏感数据时安全措施松懈,缺乏像它们的大公司客户那样的严密控制。
它们变成了最薄弱的环节,”他上周在纽约律师协会(New York City Bar Association)的一次会议上表示,你必须不仅关注自身,还要关注整个供应链。”
美国联邦贸易委员会(US Federal Trade Commission)消费者保护局表示,已对相关企业提起约40宗数据安全诉讼,至少6宗涉及未能对服务供应商进行合理监督。
美国政府和国会正对来自伊朗、中国和其他地区的黑客加大警告,声称他们正侵入并破坏美国的企业和基础设施。上周,韩国广播公司和银行成为多起明显黑客攻击的受害者,这引发了人们对于朝鲜可能参与其中的猜测。
通过将工作任务外包,企业正将敏感的公司和客户信息交到外部服务供应商手中,这些工作从呼叫中心或服务台的管理到新软件应用的开发,不一而足。
但金融服务集团保诚(Prudential)的首席信息安全官托马斯•多蒂(Thomas Doughty)表示,能够管理一家公司食堂菜单的服务商,不一定有资格管理薪酬体系。
他表示:人们知道,在依赖供应商之前,他们需要展开尽职调查,但一直让我感到震惊的是,他们是根据对逐个供应商的评价来做出决定的,而实际上他们需要根据逐项业务内容来做出决定。”
在本月公布的一项针对IT专家的调查中,波耐蒙研究所(Ponemon Institute)发现,对于谁应该为维护公司安全负责,一直未达成共识。
大型云计算供应商Rackspace副首席顾问佩里•罗宾逊(Perry Robinson)表示,该公司有时不得不建议客户改善网络安全。
他表示:我们特意在合同中写明,如果客户没有保持健康的安全环境,我们可以退出服务。”
是否具备良好的安全环境,可以从是否采取如下安全措施来判断:密码保护、加密、数据隔离、数据访问权限须知和活动日志。
纽约州网络安全办公室主任托马斯•史密斯(Thomas Smith)表示,密码过于简单一直是一大风险来源,他指出,去年SplashData的一项调查发现,最常用的密码是password”和123456”。
另外一个越来越受欢迎的密码为Jesus(耶稣)”。史密斯记得有人曾说:基督教徒将耶稣视为自己的救世主没有错,但这并不意味着,耶稣是一个不错的密码。”
会计师事务所普华永道(PwC)合伙人卡洛琳•霍尔科姆(Carolyn Holcomb)表示,外包合同现在一般包含相关条款,要求服务供应商在它们的数据泄露”时通知其客户。但她表示:没有真正落实的是监督。”
译者/梁艳裳