當發現資料外洩時,美國三大信貸機構 Equifax 怎麼做?

美國三大信貸機構之一 Equifax 坦承發生大規模資料外洩事件,至少有 1.43 億美國消費者受到波及,相當於美國 44% 的人口,這起資料外洩事件勢必將對很多人造成重大影響。

金融界對於網路安全一向非常重視,其中一個原因就是對今日威脅情勢有相當深刻的體認。

他們的資安團隊不僅非常賣力防範網路攻擊,而且平常就訓練有素並有周詳的計劃,所以才能在不幸事件當中迅速復原。

網路資安事件發生的原因,基本上都相當複雜,像 Equifax 這麼大的企業,本來就有許許多多可能出錯的環節,而且不同的團隊之間還必須彼此協調配合。

最重要的是,這一切都還必須盡可能在不影響公司日常營運的情況下達成。所以該如何拿捏,實在不是件簡單的事。

 

事件因應

根據該機構的聲明,以下是我們目前所掌握到的狀況:

  • 駭客竊取了 2017 年 5 月中至 7 月 29 日的資料。
  • 該公司一發現駭客入侵,便立刻阻止了駭客的行動。
  • 阻止之後,該公司立即聘請信譽優良的外部機構來協助他們進行鑑識分析。
  • 在評估過對消費者的影響之後,該公司已採取某些措施來防止使用者受到進一步損害。

聘請外部團隊進行內部鑑識分析

從外界看來,Equifax 的事件應變程序不僅相當完善而且流暢。或許有些人會質疑該公司為何聘請外部團隊來協助他們進行內部鑑識分析,但這麼做確實有些重要的優點。

首先,這麼做可以增加人手,因為真正的鑑識分析需要花費相當多的時間,並且耗費精神。所以,聘請一批訓練有素的專業人員來協助這項工作,核心團隊就能專心繼續維護網路的安全,並協助公司恢復正常營運。

其次,外部團隊可從新的角度來看問題,對於各系統之間的整合方式不會有先入為主的想法,他們可能會詢問一些公司團隊忽略的問題。

目前 Equifax 尚未公布任何有關此次駭客入侵的技術細節,只提到駭客利用的是該公司應用程式當中的某個漏洞。不過這方面的細節對於目前受害的消費者來說不是最重要的。

真正重要的是對外溝通,而 Equifax 在這方面做得很好,足以當成今日資料外洩事件的正面教材。

哪些資料外洩事件固定模式,令人搖頭?

在此之前,絕大多數的資料外洩事件通知都依循著固定的模式,但對資安界的大多數專家來說,此一模式實在是令人搖頭

這個固定模式就是:

  •  企業發生了資料外洩。
  • 企業告訴消費者們別擔心,也希望消費者別把矛頭指向他們。
  • 因為他們已盡最大努力來解決問題。
  • 然後,企業公布一些保障消費者信用的一些基本措施。

資料外洩事件的對外通知經常都寫得像企業法律聲明一樣空洞。當然這一點可以理解,因為這些通知的用意是要盡可能降低大眾的恐慌或疑慮。但是這樣的「標準作法」卻掩蓋了企業的「善意」。

不過這一次 Equifax 卻反其道而行。雖然其用語還可以再稍微非正式一點,但卻是很清楚地交代了當下的狀況。

Equifax 隨時更新資訊,清楚明瞭

Equifax公司的聲明不但隨時更新,並且提供了相當明確的資訊,包括:

資料外洩的影響範圍。

  • 1.43 億美國消費者的資料遭到外洩。
  • 另有不明數量的加拿大與英國消費者資料也受影響。
  • 大約 209,000 張美國消費者的信用卡受到影響。
  • 大約 182,000 份美國消費者糾紛文件受到影響。
  • 該公司目前採取什麼措施來進行深入調查。
  • 其資訊將如何提供給受害的消費者。
  • 該公司正與那些單位合作來解決當前情況。
  • 公司成立了什麼單位來協助消費者解決當前問題。
  • 該公司將負起該事件的責任。

執行長親自站上火線

其中最令人讚賞的是最後一點。該公司董事長兼執行長 Rick Smith 在資料外洩事件通知當中親自寫了一段話。雖然這類通知通當中經常會引述高層主管的話,但是由執行長親自出面的倒是少數。Equifax 更進一步拍攝了一段影片,由 Smith 執行長親上火線說明當前的情況。

在此事件當中,Equifax 其實也是受害者,但他們卻能放下悲情,由領導人親自在攝影機前一肩挑起事件的責任,盡可能協助受影響的消費者解決問題。

這一切都要歸功於他們事件應變團隊的優異表現。

一旦發生悲劇,沒有人是贏家

網路犯罪是目前一項不斷壯大的犯罪型態。資料是非常珍貴的,而且像這次這麼龐大的資料,在網路地下市場上的價值至少高達 2,700 萬美元 (以趨勢科技北美地下市場調查報告」中的最低價格每 100 筆 19 美元來計算,請參閱第 14 頁)。

這也是為何未來我們將看到越來越多的網路攻擊。不論我們再怎麼嚴加防範,駭客還是有機會得逞。

所以,凡是未做好資料外洩應變計畫的團隊,都將面臨失敗的風險。事件應變計畫必須清楚劃分權責,以及如何分工、如何溝通 (除了透過電子郵件之外),並且事先擬定一份對外通訊聲明的範本,等到真正遇到事情時才不會手忙腳亂。

從 Equifax 的表現看來,他們確實有針對資料外洩事件做好萬全的準備,這表示他們內部訓練有素而且準備充分,值得當作我們的模範。

原文出處:Equifax Breach – an Example of Good Communications 作者: Mark Nunnikhoven (雲端研究副總裁)