经济学人 / 数据隐私之殇
如果说数据是新的石油,那就应像处理石油泄漏那样处理数据泄露。
1989年,单壳船体的埃克森·瓦尔迪兹号(Exxon Valdez)超级油轮在阿拉斯加的威廉王子湾(Prince William Sound)搁浅,向周围水域泄漏了25万桶石油。这是当时美国最严重的一起海上原油泄漏事故,重创了这艘油轮的所有者埃克森石油公司的声誉。该公司为清理水面和支付索赔花费了30亿美元。为了提高安全性,美国政府下令逐步淘汰埃克森·瓦尔迪兹号这种单壳船。现在,埃克森后来合并产生的埃克森美孚在全球使用的所有船只都是双壳船。但还不止于此。这场灾难令后来的埃克森美孚在内部形成了一种宗教般的纪律文化,正是这种文化帮助这家公司成为了今天的盈利巨兽。
30年后的今天,由于网络犯罪不断激增,数字企业都在费力应对自己的“埃克森·瓦尔迪兹时刻”。最近一家是市值420亿美元的美国大型银行“第一资本”(Capital One)。7月29日该银行透露,它被黑客窃取了1.06亿信用卡客户和申请人的个人信息及财务数据。检方声称,33岁的软件开发员佩奇·汤普森(Paige Thompson)在4个月的时间里突破配置错误的防火墙侵入了亚马逊云计算平台托管的“第一资本”的服务器。奇怪的是,甚至在这名黑客在社交媒体上匿名吹嘘此事之后,银行都没发现问题—直到有人暗中告知。对于一家一直以来被视为擅长技术的金融公司而言,这是一记重击。
这起事件与石油泄漏事故有两点相似之处。白宫网络安全前顾问罗伯特·克纳克(Robert Knake)与人合著了一本网络安全方面的新书《第五战争领域》(The Fifth Domain)。克纳克认为黑客对Web应用防火墙这一安全层的突破是单壳油轮时代的“完美类比”。和埃克森·瓦尔迪兹号一样,“第一资本”本应有更多保护。和从前的石油公司一样,该银行可能也缺乏足够的安全文化,无法确保自己不懈地寻找新的漏洞。这两起事件都提醒人们,如果说数据如今比石油更有价值,那么数据泄露就有着类似于石油泄漏的不良后果。互联网公司可以从埃克森美孚这样的老牌碳排放大户那里汲取些经验,以避免这类泄露。
埃克森·瓦尔迪兹号事件对埃克森来说具有分水岭一样的意义。1989年的这场灾难引发了这家百年公司对安全和风险管理文化的彻底变革。史蒂夫·科尔在他关于埃克森美孚的著作《私人帝国》(Private Empire)中对这项变革的深度难掩讶异之情。办公室里的桌子抽屉必须保持关闭,以免员工磕碰;每次会议开始前都会有类似于饭前祷告的“安全时刻”。公司甚至会跟踪员工被纸夹割伤手的情况。包含11点要素的操作完整性管理系统(Operations Integrity Management System)如同佛教中追求开悟一般细致地追求安全涅槃。即使在今天,这家公司还在向新员工反复灌输该系统,并将其纳入绩效评估,还将之与承包商和供应商共享。27年来,这套系统成效显著。
企业可能会争辩说数据比石油更难管理。防止数据泄露如同一场艰苦的猫鼠游戏。企业不知道攻击者是谁—犯罪分子?国家力量?独行黑客?也不知道攻击者想要什么。黑客只需要做对一次就可以进入系统。而系统捍卫者必须始终都能防住每一次攻击,一步走错,全盘皆输。许多企业自认为是犯罪或战争行为的受害者,却还要承担责任,因而愤懑不已。
尽管如此,石油行业的经验仍具指导意义。首先,重视加强每个员工的安全意识可以巩固网络安全中最薄弱的环节:个人。在《第五战争
领域》中,克纳克和另一位作者理查德·克拉克(Richard Clarke)认为,企业部署再高级的反黑客技术也无法消除“可怜的戴夫”—每个组织中忍不住要打开网络钓鱼邮件的人。研究表明,无论有意无意,员工往往是网络攻击得逞的主要原因。明智的企业会发送假的钓鱼邮件来找出这些“戴夫”。
石油公司坚持要求其供应链在安全问题上与自己保持一致的态度并清楚说出存在的问题,这种做法也值得效仿。黑客在攻击大企业时越来越多地会先突破小型供应商的防御,然后再利用连接两者的通信系统侵入大企业的系统。许多企业对待黑客攻击就像对待淋病一样—即使只消说一声就能防止疾病蔓延,也还是没人愿意承认有这种难言之隐,这就让黑客更易得手。有人将这称为网络公地悲剧。
第三,英国石油公司(BP)在2010年的深水地平线漏油灾难后濒临破产的经历表明,数据也可能从资产变为沉重的债务。这起事件最终导致这家公司损失了500多亿美元,其声誉至今未完全恢复。
就目前而言,比起石油泄漏,数据泄露的成本看起来低得荒唐。“第一资本”表示,最近的黑客攻击会令它今年损失最多1.5亿美元,主要是用于提供额外的客户支持。如果不算可能会受到的罚款,这些钱平摊到每个受害用户头上还不到1. 5美元,总数也只相当于这家银行上一季度利润的1/10。征信公司Equifax在近1.5亿名客户的数据遭黑客攻击泄露后,最近同意支付最高7亿美元用于诉讼和其他索赔和解。咨询公司IBM Security将全球数据泄露的平均成本定为每位受害者150美元。克纳克和克拉克认为应该定为1000美元才能刺激相关公司来防止此类损失。
政府的态度确实越来越强硬。7月,英国政府拟对英国航空公司约50万名乘客数据被盗的事件开出1.83亿英镑(约合16亿元人民币)的罚单。这是与欧盟最新的数据保护法规相关的第一张额大罚单。英航表示将提出上诉。它或许仍有机会说服监管机构错不在己。但与埃克森或BP的经历一样,监管机构和消费者对这样的争辩可能越来越不会买账。交易数据的企业—如今多数大企业都在这么做—最好提前做好应对准备。