當發現資料外洩時,美國三大信貸機構 Equifax 怎麼做?

美國三大信貸機構之一 Equifax 坦承發生大規模資料外洩事件，至少有 1.43 億美國消費者受到波及，相當於美國 44% 的人口，這起資料外洩事件勢必將對很多人造成重大影響。

金融界對於網路安全一向非常重視，其中一個原因就是對今日威脅情勢有相當深刻的體認。

他們的資安團隊不僅非常賣力防範網路攻擊，而且平常就訓練有素並有周詳的計劃，所以才能在不幸事件當中迅速復原。

網路資安事件發生的原因，基本上都相當複雜，像 Equifax 這麼大的企業，本來就有許許多多可能出錯的環節，而且不同的團隊之間還必須彼此協調配合。

最重要的是，這一切都還必須盡可能在不影響公司日常營運的情況下達成。所以該如何拿捏，實在不是件簡單的事。

事件因應

根據該機構的聲明，以下是我們目前所掌握到的狀況：

聘請外部團隊進行內部鑑識分析

從外界看來，Equifax 的事件應變程序不僅相當完善而且流暢。或許有些人會質疑該公司為何聘請外部團隊來協助他們進行內部鑑識分析，但這麼做確實有些重要的優點。

首先，這麼做可以增加人手，因為真正的鑑識分析需要花費相當多的時間，並且耗費精神。所以，聘請一批訓練有素的專業人員來協助這項工作，核心團隊就能專心繼續維護網路的安全，並協助公司恢復正常營運。

其次，外部團隊可從新的角度來看問題，對於各系統之間的整合方式不會有先入為主的想法，他們可能會詢問一些公司團隊忽略的問題。

目前 Equifax 尚未公布任何有關此次駭客入侵的技術細節，只提到駭客利用的是該公司應用程式當中的某個漏洞。不過這方面的細節對於目前受害的消費者來說不是最重要的。

真正重要的是對外溝通，而 Equifax 在這方面做得很好，足以當成今日資料外洩事件的正面教材。

哪些資料外洩事件固定模式,令人搖頭?

在此之前，絕大多數的資料外洩事件通知都依循著固定的模式，但對資安界的大多數專家來說，此一模式實在是令人搖頭

這個固定模式就是：

資料外洩事件的對外通知經常都寫得像企業法律聲明一樣空洞。當然這一點可以理解，因為這些通知的用意是要盡可能降低大眾的恐慌或疑慮。但是這樣的「標準作法」卻掩蓋了企業的「善意」。

不過這一次 Equifax 卻反其道而行。雖然其用語還可以再稍微非正式一點，但卻是很清楚地交代了當下的狀況。

Equifax 隨時更新資訊,且清楚明瞭

Equifax公司的聲明不但隨時更新，並且提供了相當明確的資訊，包括：

資料外洩的影響範圍。

執行長親自站上火線

其中最令人讚賞的是最後一點。該公司董事長兼執行長 Rick Smith 在資料外洩事件通知當中親自寫了一段話。雖然這類通知通當中經常會引述高層主管的話，但是由執行長親自出面的倒是少數。Equifax 更進一步拍攝了一段影片，由 Smith 執行長親上火線說明當前的情況。

在此事件當中，Equifax 其實也是受害者，但他們卻能放下悲情，由領導人親自在攝影機前一肩挑起事件的責任，盡可能協助受影響的消費者解決問題。

這一切都要歸功於他們事件應變團隊的優異表現。

一旦發生悲劇，沒有人是贏家

網路犯罪是目前一項不斷壯大的犯罪型態。資料是非常珍貴的，而且像這次這麼龐大的資料，在網路地下市場上的價值至少高達 2,700 萬美元 (以趨勢科技「北美地下市場調查報告」中的最低價格每 100 筆 19 美元來計算，請參閱第 14 頁)。

這也是為何未來我們將看到越來越多的網路攻擊。不論我們再怎麼嚴加防範，駭客還是有機會得逞。

所以，凡是未做好資料外洩應變計畫的團隊，都將面臨失敗的風險。事件應變計畫必須清楚劃分權責，以及如何分工、如何溝通 (除了透過電子郵件之外)，並且事先擬定一份對外通訊聲明的範本，等到真正遇到事情時才不會手忙腳亂。

從 Equifax 的表現看來，他們確實有針對資料外洩事件做好萬全的準備，這表示他們內部訓練有素而且準備充分，值得當作我們的模範。

原文出處：Equifax Breach – an Example of Good Communications 作者： Mark Nunnikhoven (雲端研究副總裁)