Wagner Resource公司最近经过惨痛的教训学到了Pfizer公司和其他许多公司过去发现的东西:在企业计算机上安装文件共享软件是个坏主意。
据《华盛顿邮报》日前发表的一篇报道说,这家弗吉尼亚州Alexandria市的投资公司上周不得不通知其大约2000位客户说,他们的名字、社会保险号以及生日可能已经在LimeWire P2P网络上泄露了。据这家报纸说,在Wagner安全事件中被泄露的数据包括最高法院法官Stephen Breyer的个人数据。
《华盛顿邮报》报道说,此次事件是由于一名Wagner雇员使用LimeWire的文件共享软件造成的。去年这位雇员将这种软件下载到公司配发给他的PC上,这样他可以与LimeWire用户共享音乐和其它媒体文件。但是,这种软件最终导致这位雇员的计算机上的所有内容暴露给P2P网络的其他用户。
Tiversa公司首席运营官Christopher Gormley表示,像Wagner这样的数据泄露突显了公司所面临来自在工作计算机上使用P2P软件的雇员的持续的危险。Wagner雇用这家公司来帮助减少数据泄露。
LimeWire和Kazaa这类网络上提供的P2P软件,旨在帮助用户方便地共享媒体文件以及帮助他们找到其他用户计算机上的文件。问题是,如果P2P用户不小心的话,P2P软件不仅会暴露他们希望共享的文件,而且还会暴露他们计算机上的几乎所有东西。
众多机构遭遇过因这种粗心大意造成的数据泄露。例如,去年,当一位Pfizer雇员在她的便携机上安装了未经许可的P2P软件后,大约17000名公司雇员的个人数据被泄露。在去年举行的一次参议院听证会上,参议员们听到了多名证人有关大量政府和军方机密文件以及企业数据在P2P网上随手可得的证词。
据说在P2P网络上可以得到的数据包括五角大楼秘密骨干网络基础设施的完整图表,图表详细到包括IP地址和修改口令的脚本,一家大型金融服务公司举行的董事会的完整记录;一家新兴公司详细的启动计划,包括增长目标和其他业务预测。
尽管存在这些例子以及几年来人们一直在谈P2P网络的危险的事实,但人们依然令人吃惊地缺少对文件共享软件可能给企业数据形成威胁的意识。
没有几家公司了解对防止发生P2P数据泄露的控制的需要,甚至不知道它的存在。Gormley说,此外,公司常常不知道大量的敏感数据被转移到网络之外。
“让这个问题变得更糟的是,寻找可利用来进行欺诈或间谍活动的数据的计算机犯罪分子对P2P网络越来越多的搜索。他声称,P2P网络上每天平均发生大约15亿次搜索,相比之下,Google上每天发生的搜索次数为1.8亿。”Gormley说,“越来越多的搜索是出于恶意目的而进行的。”Tiversa还注意到几家数据搜集组织的出现,这些组织的唯一目的似乎是收集P2P网络上的信息供他们自己非法使用或转卖给其他不法之徒。
马萨诸塞州Waltham市数据库安全软件厂商Guardium公司副总裁Phil Neray表示,限制P2P泄露数据的关键是:不仅要有恰当的控制,而且还要有执行这些控制的政策。Neray说:“很难完全防止雇员下载P2P软件,因为一些人会找到绕过控制的办法。因此,重点应当放在监测和过滤进出企业网络的内容,以阻止敏感数据泄露出去。”