五條準(zhǔn)則杜絕與客戶溝通中的信息泄漏
網(wǎng)絡(luò)信息泄漏可謂與客戶溝通中的兵家大忌,近日洛基山銀行的一名員工不小心將包含機(jī)密信息的電子郵件發(fā)送到錯誤地址的Gmail信箱中。這幾乎導(dǎo)致一名顧客的私人信息泄漏。對該銀行來說,幸運的是,法院發(fā)出指令,要求谷歌關(guān)閉收件人的帳戶,并刪除發(fā)送錯誤的電子郵件,以防止信息被其它人獲得。不幸的是,一名完全無辜的第三者(該人的電子郵件地址被關(guān)閉)被銀行的錯誤操作帶來了很大的不便。
但愿一切都沒有發(fā)生過。懷俄明州的銀行數(shù)據(jù)安全策略可以防止此類信息泄漏問題的發(fā)生,如果不是這樣的話,所有其它銀行都采用的安全策略都是無效的。因此,在此前的一篇文章中這個問題很自然地被提出來了。該文詳細(xì)闡述了這個問題:
為什么銀行、公用事業(yè)公司和提供在線服務(wù)的其它公司,在機(jī)密數(shù)據(jù)處理方面沒有制定適當(dāng)?shù)陌踩呗裕苑乐勾祟愋畔⑿孤﹩栴}的發(fā)生?它們?yōu)槭裁床蛔層脩糁辽倏梢赃x擇使用標(biāo)準(zhǔn)化的安全保密技術(shù)來進(jìn)行信息交流?為什么摩根大通銀行的網(wǎng)站不允許其客戶限制包含機(jī)密信息的溝通,這樣的話,他們才會選擇安全通道?
在建立自身的數(shù)據(jù)安全策略時,必須特別關(guān)注與公司外的客戶和委托人的交流,理想的策略應(yīng)該包含以下的部分:
1、為了確保信息的安全,對所有的交流進(jìn)行數(shù)字簽名加密,即使在它們當(dāng)中沒有包含機(jī)密信息的情況下也要這么做。這時間,象OpenPGP之類的公共密鑰加密協(xié)議就是最佳的選擇。對于大型銀行來說,這樣可以確保接到電子郵件的是真正的客戶,包含數(shù)字簽名可以讓客戶和委托人識別出合法電子郵件和網(wǎng)絡(luò)釣魚類垃圾電子郵件的差別。
2、采用開放標(biāo)準(zhǔn)的加密協(xié)議對包括機(jī)密數(shù)據(jù)在內(nèi)的所有交流信息進(jìn)行加密處理。再重復(fù)一遍,象OpenPGP之類的公共密鑰加密協(xié)議就是最佳的選擇。加密的電子郵件將可以保護(hù)客戶和委托人免于遭受中間人類型的攻擊以及對本地網(wǎng)絡(luò)的數(shù)據(jù)嗅探和類似洛基山銀行員工錯誤發(fā)送電子郵件的意外信息泄漏等情況的威脅。因為,即使郵件被發(fā)送到錯誤的地址,沒有獲得授權(quán)的收件人也將無法讀取電子郵件。
3、要求客戶和委托人采用上面給出的數(shù)字簽名和加密方式,并在可能的情況下,進(jìn)一步使用帶外驗證方式,以確保郵件帳戶的可靠性。作為第二種驗證方式,帶外通信,舉例來說,一個電話或者一個加密的數(shù)字簽名將會給客戶和委托人在進(jìn)行信息驗證操作時提供很大的方便。
4、當(dāng)對電子郵件進(jìn)行數(shù)字簽名和加密處理限于不可行的情況下時,請不要發(fā)送電子郵件。利用其它的加密渠道,舉例來說,傳輸層安全協(xié)議(TLS)加密的網(wǎng)站就是可行的替代方案。郵遞員分發(fā)傳遞的傳統(tǒng)信件不屬于安全的渠道。不幸的是,對于埃利諾·米爾斯的問題“如果銀行將數(shù)據(jù)通過普通郵件發(fā)送到錯誤地址時,我們應(yīng)該怎么辦?”答案和前面的問題是一樣的。銀行也通過美國郵政服務(wù)追回誤投的對賬單、信用卡和借記卡以及其它機(jī)密信息,并且假裝這從來就不是一個問題。你可能也收到在別人的銀行和水電費郵寄帳單,事實上,如果你沒有退回郵件的話,也不會有什么事情發(fā)生。
5、為了防止客戶和委托人出現(xiàn)關(guān)閉安全功能,以便更“方便”地使用的情況,確保安全功能處于默認(rèn)設(shè)置中,并且禁止降低安全等級。當(dāng)然,對于很多客客戶和委托人來說,他們并不認(rèn)為選擇安全的加密通訊方式會帶來安全性,而是認(rèn)為這是制造“不便”。這時,最好的做法就是讓他們退出。實際上,在告訴他們信息泄漏問題出現(xiàn)后可能的各種結(jié)果后,讓他們自己進(jìn)行選擇。其余的,希望使用安全技術(shù)的人,就會從中獲益。
只要堅持下去,就會有更多的公司選擇這樣的方式,我想情況也就會變得越來越好。加密技術(shù)易用性的提高,使用效率的增加,會導(dǎo)致越來越多的人使用它們,因為,越來越多的公司有可能利用它們在內(nèi)部進(jìn)行工作。當(dāng)然,所有這一切都依賴于客戶和委托人對安全和隱私信息的安全是否有足夠的關(guān)注度。
即使他們不這樣做,你也應(yīng)該這么做。如果你有能力為客戶和委托人提供提供了安全的交流方式的話,就這樣做。如果他們接受了你的觀點,就有助于讓更多的人獲得安全。更重要的一點是,你可能會成為解決不安全網(wǎng)絡(luò)交流方式的長期方案中的一部分。
【編輯推薦】
