网络的教训:来自理查德·汉森的反馈
您不会知道网络攻击会是什么感觉,直到其真实的发生在您自己身上。
李·穆尔的遭遇是相当可怕的。近几年来,我一直在参与为小企业提供网络安全事务服务,从我所遇到过的相关案例来看,李·穆尔的案例可以被归纳为不对称的内部攻击的一个例子。我很诧异地发现,仅仅是一名Web开发人员就可以很容易地让一家企业及其主人受到这么大的伤害。
李·穆尔的公司被提供的服务没有任何相关的服务保障措施。一家互联网服务提供商(ISP)和网站开发者(这可能是同一个人或同一家企业)可以没有任何特殊的原因,仅仅只是因为他们可以提供相关的服务就能够被企业客户信任到如此惊人的程度。根本就没有任何措施来保护小企业应对他们的网络提供商,除了《消费者权益保护法(1987年)》,也没有相关的法令能够将他们作为普通消费者来保证他们的权益。
英国没有任何一部法规涉及到web开发人员操作实践的规范,除了BCS之外,也没有任何的专业机构来对他们实施监管。
对于中小企业而言,能够充分检测服务提供商的服务质量是相当重要的。在缺乏诸如业界排行榜的条件下,这往往靠口碑。
李·穆尔是被这名开发人员弄傻了眼仅仅是因为他比李·穆尔拥有更多的互联网和Web应用程序的相关知识——而这一现状在当前的小企业主中间非常普遍。人们可能已经对于《数据保护法(1998)》有了一定的了解,也知道《计算机滥用法案(1990)》,但很少有企业有这样的意识。
在相应的监管缺席的时候,违法者就能够在任何情况下滥用自己的知识,并制造一些计算风险来掩盖自己的违法痕迹,因为没有证据就没有案件。
多年来,《计算机滥用法案》的落后已经让人民有一些惊讶了。这一法案在手机数字智能话之前就已经被拟定了,其只在2006年进行了修正,使其可以明确地针对电脑进行规范。尽管媒体上有对于流氓国家网络攻击的炒作,但根据最近针对英国企业的网络攻击来源的研究表明,有超过70%的网络攻击是在英国内部发起的。
中小企业需要网络安全建议
警方侦查网络犯罪是基于4P的方法,即预防(prevent)、保护(protect)、准备(prepare)、追捕(pursue)。这显示了企业了解潜在的网络风险的重要性。
但警方没有足够的资源来收集证据,以确保根据《计算机滥用法》对任何针对中小企业的犯罪行为进行定罪,因此这些企业要么将不得不自己收集证据或雇用别人作为自己的代表来收集证据。
违反《数据保护法》是由信息专员办公室(ICO)专门监管的,这可能会让一些小企业主感到惊讶,因为盗窃数字资产与盗窃有形实物资产同样是非法的。对任何小企业而言,充分了解政府的网络要点概述,并遵循建议的步骤无疑是非常好的建议。那些很容易成为网络攻击目标的企业必须采取措施,以减少他们的脆弱性。
在选择一家服务供应商之前,进行尽职尽责的事前调查无疑使企业自己的责任。目前,针对初创企业如何搭建自己的网站的建议一般并不包括信息安全、对供应商资格检查以了解该供应商是否注册了ICO或如何谨慎选择一名网站设计师和ISP等方面的建议。
如果创业公司没有被事先警告,他们不可能查找到这些问题,尤其是当创业之初有这么多的事情要做,以便让业务尽快走上正常轨道。
数据泄露和网络犯罪等相关问题应该成为计算机和法律相关专业人士的兴趣所在,而不只是作为对于小企业的一种服务,也可以作为一个独立的商业机会。
一位精明的IT律师或法律网络培训专家可以确保企业需要如何以获取和存储安全信息,如果发生违约,如何以一种合适的方式在法庭上呈现安全证据。新一代的能够为小企业提供相关建议的IT专业人士可能已经出现,但这一过程需要加快,否则,将会有更多网络犯罪和惩罚等不愉快经历发生。
何时考虑建立网上业务
李·穆尔的案例尤其突显了一些小企业需要重点考虑的要素。这名Web开发人员有她的用户名和密码,并将其上传到互联网上的Web服务器。人们在将自己的用户名/密码告诉他人之前真的需要三思。这样的用户名/密码组合将是确认他们的在线身份,并让身份盗窃瞄准企业主的关键。
允许像这位Web开发者一样可信任的人知道自己的用户名/密码组合,也许是企业希望借此与之建立起良好的业务关系。但这种信任的破坏和断裂将难以发现和打击制裁。
这名Web开发者也常负责该网站的经营和管理,毕竟该网站没有受外部监管。但没有标准以衡量该开发者是否是安全的或甚至是一个好的程序员。一个技术差的网站将对企业的声誉造成很坏的影响,将有可能出现让数据暴露给跨站点脚本、SQL注入或其他常见的漏洞。
Web开发人员通常建议小企业如何选择路由器和配置路由器。这应包括改变默认密码,但这又为开发人员提供了对业务更大的控制。还有诸如无线路由器、黑客攻击、交换机的关闭、IP地址和网络健康等问题。企业也需要意识到。
根据英国政府在2011年的研究显示,每年因网络犯罪所导致的英国企业和个人的损失估计高达270亿英镑。2014年的这一数据目前尚未统计。但随着电子商务和黑客活动的增加,其不太可能下降。
这似乎背离了政府所提出的“让英国成为世界上做生意最安全的地方”的目标。
革命尚未成功,小企业和警方还有许多工作要做。英国并不缺乏专业知识,但这些知识迫切需要被充分利用起来。
(责任编辑:安博涛)
