企業(yè)安全高管表示，提供低成本電腦服務(wù)的外包公司正成為打擊網(wǎng)絡(luò)犯罪的最薄弱環(huán)節(jié)”。

隨著云計(jì)算服務(wù)的增加，企業(yè)聘用分包商以減少成本的長期趨勢(shì)有所增強(qiáng)。云計(jì)算擴(kuò)大了可以外包的IT工作的范圍，但為黑客創(chuàng)造了新的機(jī)會(huì)。

通用電氣(GE)旗下的通用電氣金融(GE Capital)首席隱私主管奧利•迪恩斯坦(Orrie Dinstein)表示，一些服務(wù)供應(yīng)商在處理敏感數(shù)據(jù)時(shí)安全措施松懈，缺乏像它們的大公司客戶那樣的嚴(yán)密控制。

它們變成了最薄弱的環(huán)節(jié)，”他上周在紐約律師協(xié)會(huì)(New York City Bar Association)的一次會(huì)議上表示，你必須不僅關(guān)注自身，還要關(guān)注整個(gè)供應(yīng)鏈。”

美國聯(lián)邦貿(mào)易委員會(huì)(US Federal Trade Commission)消費(fèi)者保護(hù)局表示，已對(duì)相關(guān)企業(yè)提起約40宗數(shù)據(jù)安全訴訟，至少6宗涉及未能對(duì)服務(wù)供應(yīng)商進(jìn)行合理監(jiān)督。

美國政府和國會(huì)正對(duì)來自伊朗、中國和其他地區(qū)的黑客加大警告，聲稱他們正侵入并破壞美國的企業(yè)和基礎(chǔ)設(shè)施。上周，韓國廣播公司和銀行成為多起明顯黑客攻擊的受害者，這引發(fā)了人們對(duì)于朝鮮可能參與其中的猜測(cè)。

通過將工作任務(wù)外包，企業(yè)正將敏感的公司和客戶信息交到外部服務(wù)供應(yīng)商手中，這些工作從呼叫中心或服務(wù)臺(tái)的管理到新軟件應(yīng)用的開發(fā)，不一而足。

但金融服務(wù)集團(tuán)保誠(Prudential)的首席信息安全官托馬斯•多蒂(Thomas Doughty)表示，能夠管理一家公司食堂菜單的服務(wù)商，不一定有資格管理薪酬體系。

他表示：人們知道，在依賴供應(yīng)商之前，他們需要展開盡職調(diào)查，但一直讓我感到震驚的是，他們是根據(jù)對(duì)逐個(gè)供應(yīng)商的評(píng)價(jià)來做出決定的，而實(shí)際上他們需要根據(jù)逐項(xiàng)業(yè)務(wù)內(nèi)容來做出決定。”

在本月公布的一項(xiàng)針對(duì)IT專家的調(diào)查中，波耐蒙研究所(Ponemon Institute)發(fā)現(xiàn)，對(duì)于誰應(yīng)該為維護(hù)公司安全負(fù)責(zé)，一直未達(dá)成共識(shí)。

大型云計(jì)算供應(yīng)商Rackspace副首席顧問佩里•羅賓遜(Perry Robinson)表示，該公司有時(shí)不得不建議客戶改善網(wǎng)絡(luò)安全。

他表示：我們特意在合同中寫明，如果客戶沒有保持健康的安全環(huán)境，我們可以退出服務(wù)。”

是否具備良好的安全環(huán)境，可以從是否采取如下安全措施來判斷：密碼保護(hù)、加密、數(shù)據(jù)隔離、數(shù)據(jù)訪問權(quán)限須知和活動(dòng)日志。

紐約州網(wǎng)絡(luò)安全辦公室主任托馬斯•史密斯(Thomas Smith)表示，密碼過于簡單一直是一大風(fēng)險(xiǎn)來源，他指出，去年SplashData的一項(xiàng)調(diào)查發(fā)現(xiàn)，最常用的密碼是password”和123456”。

另外一個(gè)越來越受歡迎的密碼為Jesus(耶穌)”。史密斯記得有人曾說：基督教徒將耶穌視為自己的救世主沒有錯(cuò)，但這并不意味著，耶穌是一個(gè)不錯(cuò)的密碼。”

會(huì)計(jì)師事務(wù)所普華永道(PwC)合伙人卡洛琳•霍爾科姆(Carolyn Holcomb)表示，外包合同現(xiàn)在一般包含相關(guān)條款，要求服務(wù)供應(yīng)商在它們的數(shù)據(jù)泄露”時(shí)通知其客戶。但她表示：沒有真正落實(shí)的是監(jiān)督。”

譯者/梁艷裳