|
美公司客户数据失窃已经屡见不鲜
上月中旬,《洛杉矶时报》等媒体披露出4000万个信用卡账户资料落入网络黑客之手,很多美国居民对个人信息安全表示担忧。很多分析人士认为,掌握大量数据的美国公司应更加小心地保护这些信息时代的“黄金”,而美国政府也应加强对企业数据管理及维护的监督。
事实上,美国公司客户数据失窃已经屡见不鲜,只不过上个月的那起案件涉及范围更广一些,才引起了轩然大波。除了此次数据失窃的主要责任者——为万事达、维萨等多家信用卡机构提供数据处理服务的“卡系统公司”之外,在过去几个月的数据失窃大名单上,还有花旗集团、时代华纳、微波通讯以及加州大学等知名企业和学术机构。
根据美国联邦贸易委员会的统计数字,2004年美国公司因数据失窃造成的损失高达500亿美元。美国《新闻周刊》的一篇文章称,从高等院校发给申请入学者的拒绝信,到普通的税务检查核对单,都存在着个人信息、银行卡密码等重要数据泄漏的可能性。有分析指出,今年信息失窃案件频繁发生,可能会有5000万美国居民的正常生活受到不同程度的影响。
一些技术专家认为,对信息安全缺乏足够重视,是美国公司频频丢失客户数据的主要原因。就拿每年为10万家企业处理信用卡信息的“卡系统公司”来说,经常进行数据检查本是理所应当之事,但这一环节明显做得不到位,直到专业信息安全公司介入调查,才发现了一个其实并不隐秘的“木马”程序。英国《经济学家》杂志指出,美国公司在处理数据方面屡次暴露出“玩忽职守”的问题,究其原因无非是很多企业管理者仍然把维护数据安全当作一件浪费人力财力的“杂事”,而且侥幸心理相当严重。
此外,美国的政策制定者没能出台相应的奖惩措施,难以确保美国公司花大力气维护客户和所属员工的信息安全。根据美国信息安全工业联盟公布的调查结果,80%的高级专业人士认为,保护数据安全的立法工作还很欠缺,对心存歹意的网络黑客缺乏足够的威慑力。
此次信用卡账户资料失窃案造成的确切损失目前还难以估量。美国一些经济学家就此指出,美国各大公司应该更加小心“看管”这些涉及美国居民正常金融活动的重要数据。斯坦福大学商学院经济学家曼德尔森指出,数据已经成为企业的一项重要资产,能否妥善看管客户数据直接关系到企业的商誉。公司治理专家乔治·韦斯特曼认为,美国公司的董事会应把防范数据信息带来的风险放在重要位置,在审计委员会、补偿委员会之外增设一个数据保护委员会,指导并监督企业经营部门保护各种保密信息。
《经济学家》撰文指出,雇用专业信息安全公司就像聘用外部审计公司查账一样,是保证信息安全的一个有效方法。文章援引数据安全专家迪亚纳·格拉斯曼的话说,对于企业管理者而言,一些简单的措施就能起到很好的保护效果,比如叮嘱员工时刻警惕数据流失带来的风险,不要轻易把公司数据传送外人等。
一些技术专家指出,对于美国政府来说,抓紧时间出台相应法规是解决问题的关键一步。据悉,目前全美只有加利福尼亚州对客户信息失窃做出过明确的法律规定。哥伦比亚大学的埃利·诺阿曼认为,美国企业在处理会计事务时遵循“GAAP”(公认会计标准),今后在处理数据时也应该有可以参照的“GASP”(公认安全条例),这就需要加紧制定相关政策。还有经济学家指出,欧盟在1995年就出台了“数据保护指导性条例”,要求欧洲公司向有关机构汇报数据保护情况和重要数据保护办法,美国的政策制定者应该借鉴一下。
据报道,美国的政策制定者已开始有所动作,目前约有20项与信息安全相关的提案提交国会。
作者:王龙云
| 
