2006年发生在美国的一起数据泄密事件,虽然过去了十几年,但因为规模之大至今依然被当作数据安全的经典反面案例反复提起。美国退伍军人事务部,是一个掌管着全美退伍军人福利和医疗服务的联邦部门,它的数据库里保存着美国数千万退役军人的个人信息。那年五月,一名该部门的员工违规将一个存有大量敏感数据的外接移动硬盘带回家中。这个行为本身就严重违反了美国联邦政府的信息安全规定——敏感数据不允许被带出政府办公网络环境之外的任何物理场所,不允许存储在个人未经授权的设备上。但这位员工显然没有把规定放在心上,或者觉得偶尔带回一次不会出什么问题。
更倒霉的是,这个员工的家在那个时间段遭遇了入室盗窃。盗贼闯入家中,翻箱倒柜偷走了不少值钱的东西,其中就包括那块外接移动硬盘。硬盘本身并不值多少钱,放在一堆偷走的物品里毫不起眼。但那块硬盘里存储着约两千六百五十万名美国退伍军人的全部个人信息,包括姓名、社会安全号码、出生日期、服役记录、伤残等级、以及部分医疗保险数据和银行账号信息。这个规模是什么概念?差不多相当于美国当时全部退伍军人加上他们的部分家属,所有人的关键身份信息和私密数据全部在一张硬盘里,而且没有做任何加密保护。
这个窃贼可能只是冲着值钱的家电和现金去的,未必知道这块硬盘里装的什么。但问题在于硬盘到了窃贼手里,他可以随时转卖给专门做数据信息交易的人,而那些买家非常清楚退伍军人信息的商业价值和犯罪价值——社会安全号码和服役记录在美国黑市上是身份盗窃的重要原材料。每一条完整的个人信息都能被用来冒名申请信用卡、骗取贷款、伪造身份文件,按当时的黑市价格一条退伍军人信息能卖到几十美元,算一下两千六百五十万条信息的经济价值,足以让任何一个犯罪组织动心。而且退伍军人群体有一个特点——他们在服役期间受训过,习惯了服从和信任,也比较少主动核查自己的信用记录,所以以退伍军人为目标的身份盗窃往往更难被及时发现,犯罪的隐蔽性和成功率都相对高。
数据是在联邦政府不知情的情况下丢失的,直到几周之后,这名员工的上级在例行的工作汇报中才无意间得知硬盘被带回家了、而且在家中被盗了。整个退伍军人事务部的高层当时就被吓出了一身冷汗,立刻向白宫汇报。时任总统布什在得知此事后也非常震怒,直接下令彻查。退伍军人事务部部长为此在国会听证会上接受了严厉的质询,全国的退伍军人组织和媒体的批评声音铺天盖地。该部门随后启动了全新的数据安全整改计划,包括全面部署设备加密、严格限制管理员对批量数据的访问权限、禁止任何未经加密的移动设备存储敏感数据。
泄密链路的致命问题可以概括为:违规带出、未做加密、被盗丢失、延迟申报。这块硬盘从一开始就没有被赋予它应有的安全保护——它应该在安全的数据中心里被人看守着、记录着每一次访问行为,而不是被放在某人家中的抽屉里等着小偷光顾。如果加密到位,即使硬盘被盗,里面的数据在缺少密钥的情况下也是无法读取的,损失的只是一块几百块钱的硬件。但因为没有加密,丢失的是一块装有两千多万美国人核心身份信息的国家资产。而且不是丢了就马上被发现——从丢失到被上报,中间又隔了好几周。这个时间间隔意味着如果窃贼或者购买这块硬盘的人对数据进行了处理,他们可能已经完成了数据的复制和分发。
这起事件给我们留下的思考是深刻且持久的。对任何组织来说,批量敏感数据应该始终保持在受控环境里,不能轻易被以物理介质的形式批量取出。大规模泄露往往都不是从一次外部高级黑客攻击开始的,而是从某个掌握了管理员权限的人的一次违规操作开始的。另一个教训是,物理介质中的数据——硬盘也好U盘也罢——必须启用加密,这在今天已经是行业常识了,但在十几年前的美国政府,这样基础的防护居然没有覆盖到如此敏感的数据集上。我们不能假设所有接触数据的人都有足够的安全意识,只能通过制度和技术的强制性约束来堵住每一个可能的漏洞。2006年的退伍军人事务部数据泄露案,让全球各机构对移动存储介质的加密管理开始真正重视起来,这个教训是用两千六百五十万美国人的个人信息安全换来的。
