有六个单词,没有安全或技术专业人士想要听到:

“我们有一个确认的数据泄露。”

几乎我们在我们的企业安全计划中所做的一切作为领导者,或顾问或程序员或分析师或伦理黑客或培训师或公司业务管理人员或(用其他角色填写包括最终用户的其他角色)旨在防止那些话说时的时刻。

如果您曾经是安全责任的人,并且听到那些所说的话,你知道那种可怕的沉没感觉。

对于其他人来说,这是一个(不完美)类比:想想你如何觉得如果你听到医生告诉你你的测试回来了积极,你确实有癌症。

但这是一个现实检查要记住:数据泄露比大多数人认为更频繁。据报道,思科首席执行官John Chambers表示,只有两种公司。那些被黑客攻击的人和那些尚不知道他们被黑了。“

并非所有数据泄露都是平等的

回到几年前我是密歇根州首席安全官员的时候,我接到了另一个国家技术领导者的呼吁,他们想要一个听听的耳朵和一些建议的未来。他刚刚被当地新闻记者接受采访,他们向他询问了几个关于网络安全问题的问题。

记者友好和乐于助人,但他正在寻求保证,即国家的公民数据被安全和充分保护。他正在寻找一个与基本信息的感觉良好的故事“一切都很好。”由于这是南卡罗来纳州的数据违约超过360万次记录后不久,我的朋友特别关注他对一个简单问题的答案:“我们的国家是否经历过数据泄露?”

他说,“我不是自由地讨论这个话题,感到困扰着这个问题。”事实是,他的政府在几个月内经历过(非常小)的安全漏洞,但他当然不想谈论新闻界。没有人想成为一个意外新闻故事的头条新闻,这在他/她的组织中反映了严重的反映。

由于大多数州都有违约法律,记者显然预计透明是或否答案 - 然后讨论任何相关的“是”细节。由于这位记者试图写一个支持性的故事,他对答案感到惊讶。毋庸置疑,记者的反应吓到了我的朋友,通往我的电话给我。

数据泄露可能很小

我认为这种困境是安全和技术专业人士经常面对的困境。当然,没有人包括我的朋友,想撒谎。此外,很少有人可以说出一个明确的“没有违规”而不增加一些警告,例如“我知道”或更有可能“,我们没有重大违规行为。”仍然是谁想解释主要和轻微违规之间的差异?

挖掘更深,回答违规问题往往会变得有些复杂。解释“轻微泄露”有点像告诉你的配偶你有易于治疗的癌症。没有人喜欢听“癌症”这个词 - 即使赔率是完全康复的好处。请允许我用密歇根州政府的“非常小的违规”故事来解释。

曾几何时,我们有一位赢得了一名小额合同奖。该奖励公告应该被置于购买网页上,但仅授权供应商只能获得访问。但是,奖励公告被错误地放在了一个公开的网站上。由于本合同被授予唯一的所有者,所列公司识别号码也是该人的社会安全号码。底线:该敏感数据暂时可向公众提供超过24小时,直到发现并修复错误。

简单来说,我们经历了一个(非常小的)数据违反一个人的敏感信息。在与密歇根通知法律和内部政府进程保持联系时,该人被通知,并采取了适当的后续行动,例如发布自由身份盗窃保护。

虽然这种类型的内部错误导致违规是罕见的,但我相信商业办公室的频道比人们的意识更常见的数据泄露。在绝大多数案例中,采取适当的行动来保护消费者,员工有关如何防止未来犯错误的员工。

现在是数据违规量表的时候了

这让我回到了原始问题 - 我的答案。

我认为现在是某种类型的数据违规量表的时间。规模可能与地震的Richter规模类似,或者癌症各个阶段的测量或可能是天气预报员使用来描述龙卷风的不同层面。

目的是更清楚地描述不同类型和数据的数据违规程度 - 也许是其他类型的网络事件,例如拒绝服务攻击或破坏。

毫无疑问,有足够的细节来解决。谁会决定?将包括什么?我们什么时候可以开始?我们在哪里仲裁?我们是否需要新的法律,或者是一般指导方针吗?是否会有国际识别规模?它甚至值得努力吗?

我有很多可能的答案,但我现在不想去那里。

但是,我很想听到你的意见。是时候进行数据违规量表?为什么或者为什么不?如果是的,那么下一个最佳步骤是什么?

Dan Lohrmann是安全导师的首席安全官(CSO)。在加入本公司之前,从2011年10月至2014年10月,他是密歇根州的第一个Cyber​​ity和基础设施保护副主任。根据他的领导,密歇根州被认为是政府的网络纳米义的全球领导者。他目前在密歇根州InfraGard执行委员会上服务。在过去的十年中,Lohrmann已建议美国国土安全部,白宫,联邦调查局,众多联邦机构,执法,州和地方政府,非营利,外国政府,地方企业,大学,教堂和家庭用户关于从个人互联网安全到捍卫政府和商业资源技术和在线攻击的关键基础架构的问题。Lohrmann于2006 - 2014年代表了美国国土安全部的美国国家首席信息官全国首席信息官。在这种能力中,他协助写作和编辑国家基础设施保护计划,部门特定计划,网络安全框架和其他联邦网络文件。Lohrmann的第一本书,虚拟诚信:忠实地导航勇敢的新网站,于2008年11月发表于1988年由Brazos Press发表。他的第二本书,Byod给你:将您自己的设备带到工作的指南,于2013年4月以Kindle格式发布。