數(shù)據(jù)泄露的補償金額通常不足以覆蓋真正實際的損失,尤其發(fā)生云端的泄露事故。專家Frank Siemons在這里對數(shù)據(jù)泄露的和解協(xié)議選項進行了討論。
大多數(shù)公司在未來幾年內(nèi)都會經(jīng)歷一種或另一種形式的數(shù)據(jù)泄露。根據(jù)信息來源的不同,對于會受影響組織的估算也會有所不同,但通常每年有40%至60%的組織遭遇數(shù)據(jù)的泄露。當這種不可避免的泄露發(fā)生時,它可能對公司的財務和聲譽造成毀滅性的后果。傳統(tǒng)的風險管理策略會考慮財務的影響以及事件發(fā)生的概率以此來應對確定的風險。有四種選項來管理這些風險:
1.緩解風險:比如,該控制的成本低于可能造成的損失;
2.回避風險:這通常是針對那些會對財務影響重大并且發(fā)生概率高的風險;
3.接受風險:組織由于各種原因包括成本效益的原因,決定不實施風險控制;以及
4.轉(zhuǎn)移風險:通常到第三方保險。
來自一個第三方服務提供商責任方的數(shù)據(jù)泄露補償不常被列入考慮的范疇,但這種選項應該值得調(diào)研。如果云平臺本身遭遇泄露,提供對客戶數(shù)據(jù)的訪問甚至是跨客戶數(shù)據(jù)的訪問會發(fā)生什么?
數(shù)據(jù)泄露索賠
大多數(shù)有記錄的數(shù)據(jù)泄露補償案例涉及個人信息泄露,例如2014年Sony Pictures和2015年TalkTalk的數(shù)據(jù)泄露。在這種情況下,個人信息遭到泄露,而對此負責的組織在法律訴訟之前或之后提供賠償,以補償用戶在金錢或隱私上的損失。雖然復雜了一點,公司之間確實存在一個類似的系統(tǒng)。這通常涵蓋在服務級別協(xié)議(SLA)中,其中包括廣泛的服務指標和條款,如對宕機時間和數(shù)據(jù)泄露的補償。標準SLA的主要問題是,在現(xiàn)實中,數(shù)據(jù)泄露賠償?shù)膬r值與一次標準的泄露或斷電可能對組織造成的重大損失相去甚遠。例如,一個組織的網(wǎng)站在黑色星期五銷售期間崩潰,導致了5000萬美元的收入損失。該組織卻只是獲得了6小時的服務積分,價值約300美元。
云環(huán)境的細微差別
要深入了解云客戶的安全事件和數(shù)據(jù)泄露補償?shù)募毠?jié),了解這些傳統(tǒng)選項之間的一些關(guān)鍵差異很重要。
這里最主要的區(qū)別是責任從客戶轉(zhuǎn)到了云服務提供商。這些責任不僅涵蓋基礎設施的可用性和性能,而且還涵蓋了該服務的安全方面的一部分。這些責任會隨著客戶對于云使用程度的進一步加深而加重。例如,一個云服務提供商在基礎設施及服務模式上的安全責任會比對軟件即服務的模式更重,因為前者所提供的服務比后者又增加了泄露的可能性和風險。攻擊者利用底層云系統(tǒng)發(fā)動的攻擊所帶來的潛在損害會變得更大,原因很簡單,因為云平臺控制著更多的服務。
另一個重要的區(qū)別是多租戶環(huán)境。云提供商是價值很高的攻擊目標,因為可以一下子訪問許多客戶的系統(tǒng)。舉個例子,假設攻擊者獲取了對Azure Web服務平臺或者Rackspace內(nèi)部基礎架構(gòu)的訪問。如果這在云采納初期聽起來似乎有點遙不可及,還可以考慮來自內(nèi)部攻擊的可能。云服務提供商的員工有沒有經(jīng)過審查,以及該審查過程是否同他們的客戶審查過程一樣使用相同的標準?這仍然是個未知數(shù)。
歷史云泄露
即便在云環(huán)境中發(fā)生的重大跨客戶安全泄露案例在現(xiàn)實中很難找到,然而越來越多的安全專家正在對此巨大的風險提出警告。2015年,伍斯特理工學院的研究人員聲稱他們使用亞馬遜網(wǎng)絡服務實例獲取了位于同一臺機器上的另一個AWS實例的訪問,此舉在一個相當復雜的白皮書中記錄在案。亞馬遜立即淡化了這種風險,表示該攻擊需要目標亞馬遜彈性計算云實例上有 非常罕見的,不太可能預先存在的過時的第三方軟件 。然而,這個例子表明,只是因為數(shù)據(jù)在云中以及可能被加密過,并不意味著該系統(tǒng)是無堅不摧的。第一個轟動媒體的以云為主題的大型安全漏洞的爆發(fā)僅僅是時間問題。
結(jié)論
調(diào)研并對云數(shù)據(jù)泄露賠償政策達成一致至關(guān)重要。這是由于數(shù)據(jù)泄露所增加的暴露風險和影響,而這又會增加組織的風險。私人信息的泄露或大范圍的服務宕機所帶來的損失不能簡單地用傳統(tǒng)的SLA賠償金額結(jié)算。損失可以高達百萬美金。只是給于幾個月的免費服務在這種情況下根本起不到什么作用。例如,Azure應用網(wǎng)關(guān)云服務對于小于99%的正常運行時間只給于客戶25%的服務積分。假設你有一個大型的網(wǎng)店,然后遭遇兩天的宕機時間。那些服務積分甚至都不值得我們花費幾個小時的文書工作來獲得,尤其當你需要處理最近的一次重大斷電事故的善后工作時。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊,10G屏蔽模塊,屏蔽線生產(chǎn)廠家。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn,網(wǎng)址m.czchengbang.com
?2016-2019寧波科博通信技術(shù)有限公司版權(quán)所有浙ICP備16026074號