当数据不见了
我们经常能够看到一些报告,说公司管理的客户个人数据丢失了,这些固然很重要,但对于整个公司的损失来说其实只是冰山之一角。客户们真正需要去问这些公司的是:还有什么其他的数据丢失了?十有八九,这些公司根本就不知道。
事实的真相是,所报道出来的大量数据丢失的问题只是他们所知道的。这个问题会随着容量不断增加的小型个人存储设备的蔓延而日趋严重。
目前有多少人拥有自己的闪存设备呢?数量级肯定在千万级以上。然而又有多少公司对闪存设备的使用做了控制或管理呢?曾经看到过这样一个事情,一位旅行者在机场侯机厅等候飞机的时候,发现在座位下面有一个闪存,捡起来后并没有发现任何有关该设备主人的信息,为了能够找到主人,他只好打开该设备上的内容文件来查找,结果发现这里面存放的是一些重要项目计划以及简短的PPT草稿,但没有任何关于主人的信息。通过这次经历,这位人士马上吸取教训,在自己的移动存储设备中添加了一个包含姓名和联系地址在内的小型TXT文件,并在外面贴上了地址标签。
这为什么会是一个很严重的问题呢?因为这些小型存储设备的存储容量在迅速增长,在经过两到三年以后,你可能根本不会再选择今天普遍看好到的500MB或1GB的设备,相反你可能花同样的钱就可以购买到10GB或更大容量的小型存储设备。
想想如果某一个员工将客户数据库下载到这样的设备中(可能他这样做只是为了把这些数据从一个系统拷贝转移到另一个系统),而又不小心将这个设备丢失,那结果会怎么样?数据丢失能受到保护吗?恐怕并不能,尽管目前很多设备包含有加密功能,但使用的人很少。那么如果是一个竞争对手捡到这个存储设备后果会有多严重?
在便携设备中丢失数据的可能性已经成为目前大多数企业安全策略中的一个巨大漏洞。美国很多州已经通过法律,要求企业一旦发现数据丢失可能影响到客户就必须上报。但随着越来越多的员工都开始使用闪存、带有SD卡的智能电话、移动硬盘等便携设备,公司掌握所有数据丢失情况的可能性也迅速减小。结果,公司违反法律的几率迅速增加,可能是因为数据丢失败露,也可能是因为法规遵从等因素。
而严峻的现实是,大多数企业为试图解决这一问题,还是把目标锁定在至少10年前的技术,如数据备份磁带的丢失。而针对企业内部出现的造成数据丢失的更为严重的可能性却根本没有控制,也没有揭露,而且在内部根本就没有发现机制。
那么这些企业应该怎么做呢?我们并不建议企业明令禁止外部存储设备的使用,因为这些设备确实为很多使用者提供了实实在在的好处。但是企业也必须采取行动,首先应该教育大家如何正确使用这些设备,其次企业应该对用户访问一些敏感的数据进行跟踪,最后企业应该通过采用一些技术来发现什么时间、谁将移动设备连接到关键数据上,确保这些设备是有保护的。
很有可能在接下来的一年中,我们会发现移动存储设备将会造成未加密数据丢失的主要途径,因此,很有可能很多企业会禁止这些设备的使用。但这绝对不是明智的做法,他们最好是采用积极的应对策略,教育使用者,并从技术上来保证即使移动设备丢失数据也不会丢失。当然,也有好的征兆,根据Gartner在2005年发布的预测数据,采取保护策略的USB闪存设备在2005年的出货量是8470万,到2010年将达到1.7亿。