CFO们的威胁(一)

      文章来源：《世界商业评论》


    如今令人担忧的是个人信息失窃和资料外泄，遗憾的是，一份最新的CFO IT调查结果显示，CFO们也许并未充分关注这一日渐显现的威胁。窃取个人信息被称为美国目前增长最快的白领犯罪，它不仅是消费者和金融机构面临的一个问题，而且对任何使用电脑和互联网的企业都构成了实实在在的威胁。

　　个人信息窃贼若有了贵公司雇员的用户名和密码，就可以畅通无阻地进入公司的电脑系统。梅塔集团（Meta Group）的项目主管彼得.福斯特布洛克（Peter Firstbrook）说：“获取某人的密码其实是以一种较为‘优雅’的方式袭击企业，就像用偷来的钥匙启动汽车――不砸碎车窗，不触动警报，完全有可能不为任何人注意。”

　　窃取用户名和密码相当容易，而有意犯罪的人甚至不必亲自这么做。安全专家和相关研究表明，目前已有近数万个网站专为偷盗和买卖个人信息而设。事实上，窃取个人信息已成为一宗大买卖，大到足以吸引有组织的国际性犯罪集团。

　　资料失窃造成的潜在危害大大超过被窃资料本身的价值。福里斯特市场调查机构（Forrester Research）的市场分析师乔纳森.佩恩（Jonathan Penn）声称，由于担心个人信息失窃，消费者对于在网上开展商务活动的信心正在减弱。他说：“出于安全方面的顾虑，人们正远离网上银行业务。除欺诈造成的损失之外，如果将信息失窃对个人网上金融业务发展的影响也考虑进去，你会突然发现这个问题造成的损失其实高达上万亿美元。” 

　　很少有人会认为CFO身处电脑安全防卫的前线，但企业名誉可能遭到的伤害、未能保护敏感资料所致的罚款威胁，以及企业可能蒙受的财务损失，这些都令资料保护成为风险管理的一个重要方面。一些CFO知道这一点，企业也确实不断地投入巨资维护电脑安全，但他们对现实状况的认识还是有些滞后。

　　窃贼采用几种简单、直接的技术来盗取个人信息：从邮件中攫取包含社会保障号码和其他个人资料的文件；偷盗存有身份信息的电脑；侵入企业数据库；从其他窃贼那里购买个人信息；贿赂企业内部人员，让后者提供客户和雇员资料的打印件；翻检垃圾箱，以寻找人事文件；诱骗消费者和雇员把自己的用户名和密码通过电子邮件或链接传到假的网站，这一过程被称为“网页仿冒”（phishing）他们还使用窥探装置来捕获键盘输入的信息，这是一种在人们输入个人数据时进行偷窥的高科技手段。

　　多数企业在遏制个人信息被窥方面做得很少。很多企业甚至为偷盗提供了方便，比如说，把社会保障号码打印在各种容易被盗的文件和身份证上。 “我们必须在要安全还是要便利的问题上有所侧重，”佩恩说，“我们需要重新评估自己的立场。”

　　有人认为，这种重新评估最终将归于财务问题。Entrust Inc.是一家数码个人信息软件及服务供应商，总部位于得克萨斯州艾迪逊，公司总裁、董事长兼首席执行官比尔.康纳（Bill Conner）说：“在处理合规问题上，CFO扮演着关键角色。法律人士掌管合规事务，业务部门的人管理业务，另一块事务也许由首席安全官来负责，但平衡资产负债和盈亏状况，以及涉及萨奥法案的种种合规事务，还是要靠CFO。”

　　在围绕这一话题的所有数据中，美国联邦贸易委员会（Federal Trade Commission）的统计数字也许最令人有紧迫感。据该委员会统计，2003年，个人信息失窃导致美国企业及金融机构损失近480亿美元；同年，近13%的美国消费者（约990万人）的个人信息被滥用。个人信息失窃导致企业在每名受害者身上平均损失达1.02万美元。处理所有这些信息失窃行为导致的后果花了多少时间呢？2003年为近3亿小时。

　　若要拥有另一个人的足够信息以冒充他的身份，就要拥有完全空白的支票。身份窃贼不单利用其他人的信用卡号码来买东西，他们还利用假身份避免识破，从事洗钱、贩毒和非法移民交易，并为恐怖活动提供资金。朱迪思.柯林斯（Judith Collins）是密歇根州大学刑事司法学教授，也是《防止商业活动中的身份被盗》（Preventing Identity Theft in Your Business）一书的作者。他说：“我们恰恰为消费者身份的窃贼提供了各种机会。”梅塔集团的福斯特布洛克补充说，挑战在于“在这件事上你看不到头。你必须不断在新的威胁来临之前提醒员工，并教导他们如何防范。”