近十年来是发生网络安全漏洞事件变得司空见惯的十年。
几乎每天,我们都会听到一些隐私“事件”或信息“泄露”。在过去十年中发生的数十亿次事件中,绝大多数是未被发现或未报告的,只有极少数事件可以合法地称为安全“泄露”:即伤害人员或设备的非理论事件,或造成混乱。
这些事件不包括众所周知的侵犯隐私行为,例如Facebook允许Cambridge Analytica从不知情的消费者那里收集信息。它也没有包括理论上的高水平的国家风险,例如美国情报机构对中国华为提出的风险。
在这十年中数以万亿计的事件中,数十亿次的违规以及成千上万的实际成为新闻的违规中,这是真正重要的六个事件。
2010年:伊朗核设施
发生了什么:一种名为Stuxnet的网络病毒于2010年首次发现,但可能已经使用了很多年。被人用来修改伊朗核电厂离心机的工作流程,从而导致离心机失控旋转,爆炸或着火。
这是第一次使用恶意计算机程序造成物理损坏。
为何具有破坏性: Stuxnet将网络安全推向了全球国家安全对话的最前沿。此事件引发了许多政策问题,尤其是国家如何确定网络攻击何时构成战争行为,并阐明了一个国家可能利用数字领域对敌人造成严重破坏的方式。各国政府还开始加大对接触电网的安全工作的投入。
Stuxnet产生了另一个出乎意料的效果:谣言是由以色列和美国情报部门共同开发的军用级恶意代码,是伊朗人重新设计的,并曾用于攻击其他目标,尤其是沙特阿拉伯。该代码还泄漏到互联网上,这是有史以来最强大的网络武器之一。
2013年:Target
发生了什么:在2013年假期旺季,Target的首席执行官宣布大规模违反了1.1亿张客户信用卡和其他个人详细信息,包括姓名,地址,电话号码和电子邮件。
该漏洞是由该公司的HVAC提供商所属的感染了恶意软件的技术以及受感染的销售点终端和其他零售设备引起的。
在过去的十年中,发生了数百起类似事件。但是与其他许多公司不同,塔吉特遭受了真正的打击。
首席执行官Gregg Steinhafel在宣布严重违规行为后立即表示歉意。这种方法并没有平静暴风雨的水面,反而加剧了塔吉特(Target)的问题并使消费者烦恼。因此,Target的同比收入在2013年第四季度下降了46%。由于这一事件,斯坦因费尔将在2014年5月辞职;在此之前,该公司的首席信息官贝丝·雅各布(Beth Jacob )于2014年3月离任。
相比之下,Home Depot遭受了几乎相同的违规行为,但直到2014年初才对外披露,这似乎减轻了消费者对该事件的愤怒。
事件发生后,Target对其网络安全计划进行了许多改革,建立了全球网络安全融合中心,并与其他零售商,金融服务公司和酒店业大力投资于信息共享计划。
为何具有破坏性: Target的违规行为对网络安全造成了许多长期影响。
团队已经仔细研究了漏洞的发生时间和使用的Target消息传递。塔吉特面对面,高度道歉的策略适得其反;这就是为什么今天有如此多的违规行为在稳定的新闻稿中宣布的原因,而高管们很少花很多时间谈论这些违规行为。
其次,第三方服务提供商向犯罪分子的黑客开放了Target,这一事实激发了人们对第三方供应商的更多关注。审查外包服务提供商的网络安全实践的程序比以前要突出得多。
该公司首席执行官和其他高管人员因违约而辞职,此后首席执行官,董事会成员和其他领导人开始更加关注网络安全。
2014年:索尼
索尼影视骇客泄露了社会安全号码和名人数据
发生了什么: 2014年11月,与朝鲜政府有关的黑客窃取了索尼电影公司员工的私人信息和电子邮件,并将其泄漏出去。攻击者说,这起事件是对索尼制作的一部喜剧电影的报复,该电影描述了朝鲜领导人金正恩被暗杀的情况。
泄露的电子邮件中包括制片厂高管之间关于著名演员的极度尴尬的谈话,并导致高管艾米·帕斯卡(Amy Pascal)辞职。
为何具有破坏性:索尼事件在董事会会议室中的反响与在小报媒体上的反响一样。Execs开始吸引网络安全人员关注他们以前几乎没有兴趣的话题,例如他们的公司是否激怒了任何敌对的民族国家,以及他们的公司如何对待电子邮件保留。
该事件将“声誉风险”推向了网络安全如何损害公司的考虑的前沿和中心。
朝鲜也从事件中脱颖而出,成为网络威胁舞台上的重要力量。
2017:NotPetya
发生了什么: 2017年6月27日,同时发生了几件事:在美国为默克公司生产疫苗的实验室停止运行,从斯堪的纳维亚半岛运送货物,马士基运送到大洋的船只停止了运输,为吉百利制造巧克力的工厂停了下来摇摇欲坠,由Reckitt Benckiser和FedEx管理的运往欧洲各地商店的货物停运了。都是因为NotPetya。
NotPetya是一种勒索软件病毒,起着蠕虫的作用,它通过网络在公司之间跳跃。它反映了一个称为WannaCry的先前错误,但更具破坏性,损坏了运行大型工业设备或物流业务的系统,造成持久的停机和重大损害。该事件归因于俄罗斯,该勒索软件造成的受影响系统中有80%位于乌克兰。
为何具有破坏性: NotPetya首次明确展示了不同行业之间的相互联系。
这也为新兴的网络保险行业引发了人们的关注。诸如FedEx之类的没有网络保险的公司,几家拥有网络保险的公司已经起诉了他们的保险公司,因为这些保险公司出于各种原因拒绝了索赔,包括通过援引“战争行为”条款。
沃伦·巴菲特(Warren Buffet)甚至以NotPetya为理由,尽管伯克希尔·哈撒韦(Berkshire Hathaway)在其他类型的保险产品中持有大量股份,但他仍然不参与网络保险业务。巴菲特在2018年表示:“我们可以估算出发生地震或飓风的可能性,但对网络的了解却不多。这在保险领域是未知的领域,并且会变得更糟,而不是更好。”
该勒索软件在世界范围内引起了反响,并且自那时以来袭击了美国的城市,教育机构和医疗保健提供者。
2017年:Equifax
大规模的Equifax违规可能影响近一半的美国人口
发生了什么: 2017年3月,网络安全领域发生了几乎不明显的事情,发现了一个名为Apache Struts的开源软件平台中的漏洞。美国计算机紧急响应小组向公司发布了一份紧急备忘录,以解决该问题。
信用评级机构Equifax获得了备忘录。修补Struts问题的指令已在组织中负责这些修复的不同部门中传递。但是其中一个部门没有按要求完成补丁。
到5月左右,罪犯已经找到了未打补丁的系统,该系统包含有关征信局投诉的信息。从那里,仍然未知的这些黑客将用近一半美国人以及加拿大和英国的一些居民的社会保险号和其他信贷详细信息清除了。
为何具有破坏性: 2017年9月7日宣布的Equifax漏洞可能不是最大或最昂贵的漏洞,但它绝对会成为历史上最混乱,最有可能引发消费者愤世嫉俗的愤怒之一的事件。
与Target违规一样,随着Equifax组织内部的影响深远,其他公司的高管也感到恐惧。首席执行官理查德·史密斯(Richard Smith)在灾难性的回应后于9月26日离开。该公司的首席信息官后来被起诉,指控他在公开交易公司股票之前使用有关违规行为的信息。
Equifax在此事件上花费了数亿美元,其中包括与事件中数据被盗的消费者最近的5.75亿美元和解。
该公司的股票已经恢复,但是由于失误,其声誉仍然受到打击。最近,在2019年7月,联邦贸易委员会表示,Equifax可能会用光结算资金,然后再支付被窃取信息的消费者提出的所有索赔要求。但是,该公司已投入大量资金来建立更强大的网络安全计划,包括强调领导者与网络安全主管之间的沟通,以及将安全项目整合到各个不同的业务领域。
2018年:万豪
发生了什么:2018年,违反大量消费者数据的行为已变得司空见惯,万豪酒店甚至都没有特别令人难忘的回忆。它的数字令人睁目结舌,最初估计有多达5亿人受到影响。500万护照号码的失窃,但是此事件只引起了几周的评论,然后热度退去。
那么为什么在这个清单上呢?因为从表面上看,万豪的违规行为严重破坏了整个十年来一直被忽视的一个网络威胁领域:合并尽职调查。此次违规源自喜达屋度假村管理的数据库,该数据库于2016年被万豪以133亿美元收购。该公司表示,数据泄漏可能已经持续了好几年。
为何会造成破坏性影响:正如Target在本世纪前半叶在企业界引发了一系列强大的第三方监督计划一样,万豪违规行为已经导致公司改善对计划购买的公司进行调查的方式。
股东诉讼质疑万豪的合并尽职调查做法,这是多年来最引人注目的数据侵权诉讼。
网络安全事件还有很多,比如:MongoHQ数据泄漏,LivingSocial数据泄漏,Facebook数据泄漏等等。
网络安全现在已经成为大家最为关心的网络问题,针对个人数据大家也开始重视,虽然一直有个人隐私泄漏事件发生,但是国家也在加大网络安全的投入。
2018年,中国网络信息安全的市场规模达到495.2亿元,未来三年将保持高于22%的增长速度,到2021年达到926.8亿元。2018年,全球网络信息安全市场持续稳步增长,规模达到1269.8亿美元,同比增长8.5%。
网络安全通常被设计成复杂的,但并非必须如此。无论是2000年还是2020年,总是会有安全漏洞会造成大量漏洞和业务风险。我怀疑2040年情况不会改变,每到新的一年,都会有更多针对我们网络安全挑战的“解决方案”。