正如英国全国建屋互助会(Nationwide Building Society)在去年初发现的那样,丢失笔记本电脑会带来巨大损失,伍斯特郡郡政会(Worcestershire County Council)可能很快也会发现这一点。$ d. a9 s. r; d" Q( d- k# R
9 ?* ^* r5 V& e. G) a3 t" R0 j
而最大的损失未必来自更换丢失系统所花费的成本。事实上,就拿全英建屋互助会来说,最后被金融服务管理局处以罚款98万英镑才是主要费用,理由是这家监管部门认定该组存在严重的信息安全过失。该组织还花费了大量的时间和资金来通知客户,要留意这起失窃事件可能带来的潜在风险——早些时候,一名员工在家里丢失了笔记本电脑。$ b% V2 L W. k/ {. n
; y) T/ r7 H, w" I* x( a& B 因而,虽然全英建屋互助会的首席执行官Philip Williamson表示“此次事件没有给客户的账户带来任何经济损失”;如果客户确实蒙受了损失,他们无论如何会得到补偿的。不过这起事件还是促使该组织委托另一家组织“为其全面审查了信息安全程序和控制措施。” - z, h# a, h2 b* }; p. ~( ^+ U( v: F4 d. ` {
移动设备带来便捷性的同时也存在风险/ a9 s0 y0 P9 n, C1 ?
* G6 q- Z/ o3 r 而与此同时,伍斯特郡郡政会接到了其IT供应商Serco公司的通知,声称该公司的一名员工在周末逛街时遭遇抢劫,结果一台笔记本电脑被抢。电脑里面含有郡政会16239名员工以及前员工的个人资料,包括银行和全国保险信息,这些信息有可能被暴露在身份窃贼面前。, ?! b% \3 P& M! T
8 z, L9 K- d3 v: m; y8 w
于是,伍斯特郡郡政会通过信件的方式紧急通知了受到影响的人员,还为他们开设了一条热线,以便提供更多的信息,从而知道如何保护自己避免可能出现的欺诈。4 T7 ]" H( P$ w
! |8 b/ ?! v6 P; ]4 }/ y 但并不是单单只有这两家组织才遇到丢失笔记本电脑的事件。据英国科技新闻网站silicon.com在2006年8月开展的信息自由调查显示,许多政府部门都遇到过丢失笔记本电脑的事件。 " Z! L% R+ m( ?% ]! n- O9 K- |' P5 j+ U* x
其中受影响最严重的英国国防部声称,从2005年7月到2006年7月,21台笔记本电脑被偷。内政部有19台被偷;卫生部被偷18台;贸易和工业部有16台失窃;皇家监狱总局被偷8台;英国身份及护照服务处被偷4台。 - I7 O* l, {! ?- a 6 G" ^& B/ ^" |) b$ I( { 但失窃并非导致笔记本电脑下落明白的惟一原因。2005年,英国执业出租车司机协会创办的《出租车》杂志对伦敦的出租车司机作了一项调查,这项调查得到了移动安全技术供应商Pointsec公司的赞助。调查发现,在短短半年内时间,乘客遗忘在出租车上的笔记本电脑数量多达4973台——不过其中有96%物归原主,这还得归功于司机们不遗余力地寻找失主。: ]$ }- ?9 o/ _1 i
9 f) W3 i0 i3 N+ V- i
遗忘在出租车上的个人数字助理(PDA)也有5838部,而手机更是多达63135部——平均每辆出租车上会落下三部手机;不过在后面这种情况下,司机们设法归还了其中约80%的手机。8 ]3 _7 w. d# j0 g& S
5 S! [; O; ]4 ]) ~1 ] 这一切似乎都表明,尽管移动设备给日益分散的员工队伍带来了便利和灵活性,不过同时也带来了一系列信息安全风险。' }" P0 D6 R. h3 k
0 S" C: ]6 ]8 q( p 人们在这方面主要担心的问题之一与数据泄露有关;而事实上,一旦笔记本电脑丢失或者被偷,没有授权的人就有可能获得敏感的公司信息。" j1 g. J+ I u5 Q8 j# T
9 q2 d4 ~" R' I1 X' {
尽管如此,据英国贸易和工业部在2006年开展的信息安全泄密调查(普华永道会计事务所负责每两年调查一次)显示,五分之四的英国公司仍然单单依靠密码来保护各自的系统。9 J- S W4 R& \8 R% ?3 n8 a7 m3 N) u
: y2 m1 f* N& n( c( J2 M* v
研究公司Freeform Dynamics的首席分析师David Perry指出,这方面存在的问题是,谁都知道,密码是不安全的。他说:“人们常常使用老一套的密码,或者人家运用社会工程学伎俩,打个电话,就会把密码透露给对方。还有为数不少的人养成了把密码记到纸上的习惯,而窃贼总是知道在何处找到密码。比方说,如果窃贼连笔记本电脑包一道偷走,很可能在包里面找到密码。”8 r* N2 _& D. M4 y7 F0 N2 E" c9 f
8 S V, b# V' d. n- V. i$ ^
不过,目前的情况显得更加复杂,这是由于无线网络日益普及:员工在外出时会接入无线网络;日益普遍的是,员工在家办公时也会接入无线网络。 3 y2 Z2 B) I: q# X$ K : b2 L/ I" |/ h4 g F9 w e 这里难就难在,就目前而言,用户想知道自己连接的是合法网络还是非法热点(rogue hotspot)几乎是不可能的——如果人们所用的笔记本电脑采用了英特尔迅驰芯片,这个问题就显得尤为突出;因为一旦这些笔记本电脑启动上去,就会自动寻找信号。: _( I4 f: `% o4 o/ `
1 U" O1 J- Q- S4 U5 O3 ~4 `# R
由于无线安全技术仍处于发展初期,所以这无助于缓解这个麻烦的事态。不过如今开始出现了像AirTight Networks入侵预防软件这样的产品,试图解决这个问题。( E! E3 o1 N/ Z; @/ `, y$ ?) L
1 E9 O/ R, j" K' g1 D2 X
经销商Wick Hill公司的总经理Ian Kilpatrick表示,另一个可能危险的情形是,有人在策划所谓的中间人攻击(man-in-the-middle attack)。 1 o" |, P% X4 c7 I 6 o8 w" z7 ~: l7 t& @ 他解释道:“用户可能以为自己成功连接到了无线网络,但是黑客之前也许已经连接到这个网络上面,因而用户可能是通过黑客连接到网络。这就意味着,黑客可以盗用用户的信息来登录,查看来回传输的数据。不过最严重的问题是,一旦黑客窃取了用户的身份,就可以随时登录网络。”! m4 Y; w! J/ j R1 e
7 V2 l' B0 Y# N n! w+ m 因而,Kilpatrick建议公司应当确保员工通过自己的机器连接到互联网时要使用SSL或者IPsec虚拟专用网(VPN);另外确保笔记本电脑安装了双因子验证产品,如令牌或者数字证书,从而确保试图登录到公司网络的用户确实拥有有效身份。+ `; @' \5 u( o; @% T7 B
# T& n" I! X7 m! j+ B2 u2 A 另一个重要的工具就是加密软件,可用来保护存放在笔记本电脑中的任何敏感数据。Kilpatrick表示,如果批量采购,目前每台电脑使用的加密软件大约只要70英镑,“这与数据丢失可能导致的罚款及名誉受损相比微不足道。”/ `$ d d+ i) G3 ` _: [