彭銘楷

當大部分媒介和民眾津津樂道于A國元首擁有多家海外控股公司等談資時，我們還是應該回歸事件的本質(zhì)，那就是“巴拿馬文件”所觸發(fā)的全世界企業(yè)對信息安全的擔憂和思考。

2016年4月5日，位于巴拿馬的莫薩克·馮賽卡律師事務所客戶資料遭到外泄，因被揭露的數(shù)據(jù)中包含各國政要和精英們的海外資產(chǎn)，這個坊間稱之為“巴拿馬文件”的事件一時間甚囂塵上，被全球媒體競相報道。當大部分媒介和民眾津津樂道于A國元首擁有多家海外控股公司、B國首相可能涉嫌逃稅等談資時，我們還是應該透過新聞的表象回歸事件的本質(zhì)，那就是“巴拿馬文件”所觸發(fā)的全世界企業(yè)對信息安全的擔憂和思考。特別是律師事務所、企業(yè)服務機構、投資公司之類擁有大量客戶數(shù)據(jù)的機構，它們的行業(yè)特性和“易黑”體質(zhì)，更容易招致黑客的攻擊，一旦 “淪陷”將會給企業(yè)帶來巨大的財產(chǎn)和聲譽損害。

其實“巴拿馬文件”只是信息安全事件的冰山一角，它之所以備受關注是因為受害者非富即貴的特殊身份。據(jù)調(diào)查，僅2015年和2016年第一季度，全球發(fā)生的信息外泄事件已不勝枚舉，攻擊范疇涉及企業(yè)、銀行、網(wǎng)絡、支付系統(tǒng)，甚至政府平臺，可以說無一幸免。以下，我們通過列舉幾則影響力較大的信息外泄事件以作警醒。然而遺憾的是，我們不得不承認，更多的此類事件可能尚未被發(fā)現(xiàn)或報道出來。

即使在我們身邊，也處處存在著信息外泄的威脅。機構為了業(yè)務的需要，如分析客戶喜好、服務和產(chǎn)品開發(fā)等，往往會收集留存越來越多的個人信息。試想一下你的私人銀行，其幾乎擁有了你和家人的所有信息：聯(lián)系方式、家庭狀況、收入來源、工作狀況、消費習慣等等。一旦這些信息被盜，你可否有種被人剝?nèi)ネ庖碌牟话踩?？更何況，接下來的情況可能更糟，黑客們會通過各種手段利用這些信息來進行犯罪：盜取信用卡、盜用身份、詐騙身邊的朋友、公司或合作伙伴……因此，信息安全并不只是一個遙遠的概念，它與我們每個人都息息相關。

有關“巴拿馬文件”中數(shù)據(jù)外泄的始末，當事人并未透露一二，我們因此也無從知曉。我們所能預見并擔憂的是，“巴拿馬文件”或許在下一秒就會降臨到中港企業(yè)身上。到那時，企業(yè)該如何應對？企業(yè)的IT部門與信息安全團隊要怎樣才可偵查出數(shù)據(jù)外泄的端倪？如何才能采取有效手段避免客戶信息被盜?。?/p>

圍繞上述的疑問，我們嘗試利用一些“巴拿馬文件”中有限的公開數(shù)據(jù)作技術分析和評估，看能否找出數(shù)據(jù)外泄的原因。根據(jù)我們的調(diào)查，莫薩克·馮賽卡律師事務所與客戶之間的日常往來是通過設置電子商務平臺來實現(xiàn)支付、信息傳遞、信息查詢和在線申請等服務的。而此電子商務平臺所連接的內(nèi)部數(shù)據(jù)庫就是該律所的核心數(shù)據(jù)庫，即“所有”客戶的關鍵數(shù)據(jù)，包括客戶機密或非機密數(shù)據(jù)。下圖是莫薩克·馮賽卡律師事務所網(wǎng)站服務結構示意圖（見圖1）。

我們從此網(wǎng)站服務結構入手進行分析， 認為黑客有可能利用以下方法竊取數(shù)據(jù)：

1.通過客戶不經(jīng)意的行為連接到惡意網(wǎng)站（比如當客戶點擊不明來歷的電子郵件中的網(wǎng)址）。

黑客安裝惡意軟件（malware）至客戶端后，透過“Man-In-the middle”黑客技術，最后利用客戶端竊取大量客戶數(shù)據(jù)。

2.透過詐騙電子郵件，偽裝成電子商務平臺的客服人員向客戶發(fā)送電子郵件。

當客戶打開電子郵件附件， 黑客利用軟件漏洞植入惡意軟件于客戶的手機或計算機， 最后獲得該客戶ID和密碼，直接登錄網(wǎng)站。如果所獲取的ID和密碼并不是普通用戶，而是所謂“超級用戶”，黑客就幾乎可以下載所有客戶的數(shù)據(jù)。

3.通過已掌握的系統(tǒng)基本信息（如系統(tǒng)軟件的版本等等）或使用系統(tǒng)漏洞測試工具。

黑客可以測試并找出網(wǎng)站或系統(tǒng)漏洞（譬如Zero-Day），然后利用漏洞直接從數(shù)據(jù)庫（Database）竊取數(shù)據(jù)。

在我們看來，即使目前全球?qū)τ凇鞍湍民R文件”一類的事件尚未有顯著的解決之道，但對于企業(yè)的信息科技安全風險還是能夠通過技術手段，在一定成本的前提下減小到最低。當今科技日新月異，市場環(huán)境瞬息萬變，企業(yè)的信息安全無時無刻不在受到攻擊和威脅。想要加以有效的應對，我們必須明白一個道理，那就是企業(yè)的信息安全風險如果僅僅依賴于IT和信息安全團隊的一己之力是獨木難支的，它需要來自整個企業(yè)自上而下的統(tǒng)一“基調(diào)”和行動力，包括投放更多的人力和物力；高度重視企業(yè)現(xiàn)有IT和信息安全功能；提升基礎設施的建設和經(jīng)營模式的控制等等。如此，企業(yè)才可以通過種種途徑，減少信息安全對公司聲譽帶來的潛在風險。

（作者為甫瀚咨詢公司董事總經(jīng)理）