彭銘楷

當(dāng)大部分媒介和民眾津津樂道于A國元首擁有多家海外控股公司等談資時，我們還是應(yīng)該回歸事件的本質(zhì)，那就是“巴拿馬文件”所觸發(fā)的全世界企業(yè)對信息安全的擔(dān)憂和思考。

2016年4月5日，位于巴拿馬的莫薩克·馮賽卡律師事務(wù)所客戶資料遭到外泄，因被揭露的數(shù)據(jù)中包含各國政要和精英們的海外資產(chǎn)，這個坊間稱之為“巴拿馬文件”的事件一時間甚囂塵上，被全球媒體競相報道。當(dāng)大部分媒介和民眾津津樂道于A國元首擁有多家海外控股公司、B國首相可能涉嫌逃稅等談資時，我們還是應(yīng)該透過新聞的表象回歸事件的本質(zhì)，那就是“巴拿馬文件”所觸發(fā)的全世界企業(yè)對信息安全的擔(dān)憂和思考。特別是律師事務(wù)所、企業(yè)服務(wù)機構(gòu)、投資公司之類擁有大量客戶數(shù)據(jù)的機構(gòu)，它們的行業(yè)特性和“易黑”體質(zhì)，更容易招致黑客的攻擊，一旦 “淪陷”將會給企業(yè)帶來巨大的財產(chǎn)和聲譽損害。

其實“巴拿馬文件”只是信息安全事件的冰山一角，它之所以備受關(guān)注是因為受害者非富即貴的特殊身份。據(jù)調(diào)查，僅2015年和2016年第一季度，全球發(fā)生的信息外泄事件已不勝枚舉，攻擊范疇涉及企業(yè)、銀行、網(wǎng)絡(luò)、支付系統(tǒng)，甚至政府平臺，可以說無一幸免。以下，我們通過列舉幾則影響力較大的信息外泄事件以作警醒。然而遺憾的是，我們不得不承認(rèn)，更多的此類事件可能尚未被發(fā)現(xiàn)或報道出來。

即使在我們身邊，也處處存在著信息外泄的威脅。機構(gòu)為了業(yè)務(wù)的需要，如分析客戶喜好、服務(wù)和產(chǎn)品開發(fā)等，往往會收集留存越來越多的個人信息。試想一下你的私人銀行，其幾乎擁有了你和家人的所有信息：聯(lián)系方式、家庭狀況、收入來源、工作狀況、消費習(xí)慣等等。一旦這些信息被盜，你可否有種被人剝?nèi)ネ庖碌牟话踩校扛螞r，接下來的情況可能更糟，黑客們會通過各種手段利用這些信息來進(jìn)行犯罪：盜取信用卡、盜用身份、詐騙身邊的朋友、公司或合作伙伴……因此，信息安全并不只是一個遙遠(yuǎn)的概念，它與我們每個人都息息相關(guān)。

有關(guān)“巴拿馬文件”中數(shù)據(jù)外泄的始末，當(dāng)事人并未透露一二，我們因此也無從知曉。我們所能預(yù)見并擔(dān)憂的是，“巴拿馬文件”或許在下一秒就會降臨到中港企業(yè)身上。到那時，企業(yè)該如何應(yīng)對？企業(yè)的IT部門與信息安全團(tuán)隊要怎樣才可偵查出數(shù)據(jù)外泄的端倪？如何才能采取有效手段避免客戶信息被盜??？

圍繞上述的疑問，我們嘗試?yán)靡恍鞍湍民R文件”中有限的公開數(shù)據(jù)作技術(shù)分析和評估，看能否找出數(shù)據(jù)外泄的原因。根據(jù)我們的調(diào)查，莫薩克·馮賽卡律師事務(wù)所與客戶之間的日常往來是通過設(shè)置電子商務(wù)平臺來實現(xiàn)支付、信息傳遞、信息查詢和在線申請等服務(wù)的。而此電子商務(wù)平臺所連接的內(nèi)部數(shù)據(jù)庫就是該律所的核心數(shù)據(jù)庫，即“所有”客戶的關(guān)鍵數(shù)據(jù)，包括客戶機密或非機密數(shù)據(jù)。下圖是莫薩克·馮賽卡律師事務(wù)所網(wǎng)站服務(wù)結(jié)構(gòu)示意圖（見圖1）。

我們從此網(wǎng)站服務(wù)結(jié)構(gòu)入手進(jìn)行分析， 認(rèn)為黑客有可能利用以下方法竊取數(shù)據(jù)：

1.通過客戶不經(jīng)意的行為連接到惡意網(wǎng)站（比如當(dāng)客戶點擊不明來歷的電子郵件中的網(wǎng)址）。

黑客安裝惡意軟件（malware）至客戶端后，透過“Man-In-the middle”黑客技術(shù)，最后利用客戶端竊取大量客戶數(shù)據(jù)。

2.透過詐騙電子郵件，偽裝成電子商務(wù)平臺的客服人員向客戶發(fā)送電子郵件。

當(dāng)客戶打開電子郵件附件， 黑客利用軟件漏洞植入惡意軟件于客戶的手機或計算機， 最后獲得該客戶ID和密碼，直接登錄網(wǎng)站。如果所獲取的ID和密碼并不是普通用戶，而是所謂“超級用戶”，黑客就幾乎可以下載所有客戶的數(shù)據(jù)。

3.通過已掌握的系統(tǒng)基本信息（如系統(tǒng)軟件的版本等等）或使用系統(tǒng)漏洞測試工具。

黑客可以測試并找出網(wǎng)站或系統(tǒng)漏洞（譬如Zero-Day），然后利用漏洞直接從數(shù)據(jù)庫（Database）竊取數(shù)據(jù)。

在我們看來，即使目前全球?qū)τ凇鞍湍民R文件”一類的事件尚未有顯著的解決之道，但對于企業(yè)的信息科技安全風(fēng)險還是能夠通過技術(shù)手段，在一定成本的前提下減小到最低。當(dāng)今科技日新月異，市場環(huán)境瞬息萬變，企業(yè)的信息安全無時無刻不在受到攻擊和威脅。想要加以有效的應(yīng)對，我們必須明白一個道理，那就是企業(yè)的信息安全風(fēng)險如果僅僅依賴于IT和信息安全團(tuán)隊的一己之力是獨木難支的，它需要來自整個企業(yè)自上而下的統(tǒng)一“基調(diào)”和行動力，包括投放更多的人力和物力；高度重視企業(yè)現(xiàn)有IT和信息安全功能；提升基礎(chǔ)設(shè)施的建設(shè)和經(jīng)營模式的控制等等。如此，企業(yè)才可以通過種種途徑，減少信息安全對公司聲譽帶來的潛在風(fēng)險。

（作者為甫瀚咨詢公司董事總經(jīng)理）