14个因安全事故引咎辞职的大BOSS
美国OPM公司主管Katherine Archuleta是最近因数据泄露事件离职的受害人,但她绝不是第一个。如果你从事信息安全保障这份职业,那你的工作就毫无安全可言。
出事了,总有人需要承担责任
作为一个CEO、CIO或CTO,他们也许不直接负责IT安全,甚至只有少部分人对此能有较为深刻的理解。但每当天花板坠地时,他们必须成为承担责任的一方。
美国人事管理办公室主任Katherine Archuleta是最近一个于数据泄露事件中倒下的大领导。在上个月美国联邦政府机构被黑客攻击后,有超过2150万美国人的资料被盗取,这比当初公布的420万人资料泄露的数字多了近6倍。
2015年5月IBM和Ponemon研究所从350家公司的调查信息中发现,今年数据泄露平均总成本由去年的352万美元增加到379万美元。为每条记录(并保护)敏感数据信息花费的平均价格上升至154美元。这是全球平均值,在美国每条数据可达217美元。
用以上数据计算,OPM公司此次2570万数据被盗背后耗费了高达56亿美元。这些资金可能为美国下一年度(FY2016)政府的网络安全工作预算140亿美元中的一部分,毕竟OPM数据泄露对与国家安全会带来严重并且长期的影响。
在这种情况下,总有人需要出来承担责任。
不过当你看到公司被黑客入侵的列表时,你就会发现就算是系统最复杂、资金很充裕的企业或组织都无法抵御黑客攻击。FBI局长James Comey曾在《60分钟》访谈中这样说:
“美国的大公司有两种,一种是已经被中国的黑客入侵的,另一种是尚未发现自己已经被中国的黑客入侵的。”
小编:然而,世界上并不是只有中国黑客……还有美国黑客,美国黑客,美国黑客!
鉴于IT系统的脆弱性,一般首先是CEO、CIO或者CTO写封辞呈——为“未预见”的安全事故道歉,然后提醒同志们今后应该重视安全问题。种种案例中,或许我们可以从中学到些教训,亦或我们都只是在静静等待另一个只鞋子的掉落。
数据泄露的牺牲品
涉及人物:塔吉特(Target)CEO & CIO
2014年五月,塔吉特CEO Gregg Steinhafel因2013年1.1亿顾客信息泄露事件引咎辞职。他在给董事会的辞呈中提及该公司承诺提升数据安全性。
两个月之前,塔吉特CIO Beth Jacob辞职,同为数据泄露的牺牲品。塔吉特公司成立于1962,是美国第二大零售商。
索尼影视被黑
涉及人物:索尼副总裁Amy Pascal
2015年2月,在索尼影业的攻击者公布了索尼的机密文件以及索尼副总裁Amy Pascal与其他电影高管之间令人尴尬的“撕逼”邮件。
以下图片来自于被泄露的索尼高管邮件记录,曝光了一封索尼娱乐部副主席Amy Pascal收到来自乔治克鲁尼的工作邮件。
邮件来源地址被马赛克,但名字标为GC(George Clooney 缩写)发送于索尼被大规模黑客攻击前的9月5日。
撕逼邮件正文:
“我们会有多少乐趣...风险比《公民凯恩》还大...如果我们以令人信服的方式讲述真相...默多克就不会得到时代华纳...cnn台不会成为fox台...能做这部电影太让我兴奋了...我想对那些正在偷听的家伙们说...我是新闻人的儿子...我的消息可是两倍灵通的...所以准备好被起诉吧...fuckers...(脏话就不翻了)” 显然克鲁尼在与索尼高管谈论邮件时间前两天爆出的他将为索尼执导的新片《黑客攻击》Hack Attack,并在邮件中一贯幽默地与高管开玩笑假装他们正被黑客攻击。然而没想到他成了预言家... 埃及艳后的情况也好不到哪里去 业内人士都知道此项目不靠谱等着看笑话 茱莉自己都不喜欢Eric Roth的剧本 纯粹是为了个人利益垂死挣扎。”
据报道,攻击团伙目标是破坏索尼制作的喜剧电影《刺杀金正恩》的播放,该片讲述了两个美国人去朝鲜采访金正恩的故事。
信用卡数据失窃
涉及人物:韩国金融公司KB Financial 27位高管
2014年1月27日,韩国金融公司KB Financial的27位高管辞职。根《华尔街日报》报道,检方称KB Financial及其子公司发行的1.04亿信用卡数据失窃,作案者是韩国信用评级公司Korea Credit Bureau的一名IT合同工,他趁着去各家银行咨询时盗取了信用卡客户的资料。
密码验证错误
涉及人物:美国犹他州政府技术服务部门负责人Stephen Fletcher
2012年5月,美国犹他州政府技术服务部门负责人Stephen Fletcher因UDOTS服务器数据泄露而辞职,该泄露事件影响了该州卫生系统中的个人信息,其中包括28万人的社会保障号码以及50万人的略不敏感个人信息。“一个服务器上密码验证层的错误”是本次事件的罪魁祸首。
数据未加密
涉及人物:美国南加州税务局局长Jim Etter
2012年末,在360万社会保险号码泄露之后,美国南加州税务局局长Jim Etter辞职。Mandiant安全公司发现社保数据未加密并且安全协议不足。
泄露,怪我咯?
涉及人物:美国俄亥俄州立大学CIO Kathy Starkoff
2013年,美国俄亥俄州立大学CIO Kathy Starkoff因大约76万个人信息泄露而辞职。2010年10月22日俄亥俄州立大学新闻网站The Lantern上出现了这些个人信息记录,但是当时真没人认为这是“数据泄露”。直到12月,Starkoff才在一封邮件里看到这事儿(可这真的能怪他么?)
搜索结果也泄密
涉及人物:AOL美国在线 CTO Maureen Govern
AOL用于研究目的发布了2000万搜索日志数据,问题是这些数据泄露了搜索者的个人身份,于是AOL CTO Maureen Govern和负责此研究项目的学者纷纷被解雇。
光盘和数据
涉及人物:英国收入与关税机关(HMRC)主席Paul Gray
2007年英国收入与关税机关(HMRC)主席Paul Gray因一个未加密的CD泄露而辞职。该CD记录了250万个人及700万家庭的儿童福利详细说明。
不要嘲讽黑客
涉及人物:安全公司HBGary Fedral CEO Aaron Barr
2011年安全公司HBGary Fedral CEO Aaron Barr辞职,因为该公司网站被攻击并且造成71000个人邮件泄露。他要是没有大放厥词——揭露黑客组织Anonymous的领导人姓名,或许就能避免这一切了……
胆子太大:卖用户数据
涉及人物:智能卡支付公司Octopus Holdings CEO Prudence Chan
2010年,智能卡支付公司Octopus Holdings因被发现向其商业伙伴出售近200万的客户个人资料,导致CEO Prudence Chan辞职。隐私法规的存在,就意味着你必须拿隐私当回事。
家得宝
涉及人物:家得宝安全团队临时工
尽管在2014年美国家居连锁店家得宝5600万信用卡数据曝光后,管理团队中似乎并没有人对此负责。公司没有立即回应记者是否保留对高管追求责任,但在公司安全团队中有些成员因忽视经理的警告而离开。
笔记本丢失引发的血案
涉及人物:退伍军人事务管理部主管信息安全的官员Pedro Cadenas Jr
2006年5月,一台包含无数当前和过往军事人员姓名、生日、社会福利号的笔记本电脑失窃,让美国退伍军人事务管理部薄弱的安全管理引起广泛关注。
如果IT部门未雨绸缪,提早实施必要的安全政策,是否就能防止员工因为做项目而把2,650万未加密的数据记录带回家去。
当6月下旬FBI找到这台电脑时,退伍军人事务管理部主管信息安全的官员Pedro Cadenas Jr.宣布辞职,而早前该部门负责制订安全政策的副助理秘书Michael McLendon也已经离职。
美国计算机应急响应小组(US-CERT)
涉及人物:美国计算应急预备小组(US-CERT)负责人Randy Vickers
2011年,美国网络安全机构——美国计算应急预备小组(US-CERT)负责人Randy Vickers突然宣布辞职。虽然电子邮件并未披露Vickers辞职的原因,但在辞职前不久五角大楼电脑系统以及美国参议院和中央情报局网站都曾遭受黑客攻击。
离开不意味着悲伤
除了数据泄露,物理安全中的闪失也会造成离职的悲剧发生。2014年美国特勤处首位女处长Julia Pierson保护白宫安全不力引咎辞职,原因竟是一人持刀闯白宫所致。
2006年,美国核武器管理部门网站的安全缺陷导致黑客入侵,并盗走了至少1500名政府雇员和承包商的个人数据资料,造成美国国家核安全局局长Linton Brooks次年在重重压力之下辞职。
谨以此文献给为关注安全或安全事业奋斗、尚未离职的你。
*本文作者:小太阳花,参考来源:informationweek,转载需注明来自FreeBuf黑客与极客(FreeBuf.COM)