CIO的教训：加密数据也不可认为是安全的

　　

    一、入侵时间长。18个月对于进行非法访问来说是一段很长时间。

　　

    二、入侵者做了很好工作来掩盖他们的痕迹，这可从以下这份文档的陈述可得以表明，“此外，入侵者所用技术使得我们到目前为止都无法确定我们认为在2006年已被窃取所有文件中大部分文件的内容是什么。对于此次计算机入侵事件中包括的业务范围和区域、计算机系统还有时间进度，我们的调查已要求有个明确到日期的时间范围，且我们的调查仍未完成。我们还将继续调查以确认这次计算机入侵中被盗的信息具体有哪些，不过除了以下所提供信息以外，我们也许永远无法能再确认其它大部分被认为已被窃的信息。”

　

    三、尽管TJX有采取一些适当的加密和数据擦除策略（至少据SEC文档中显示是如此），但入侵者十分精通计算机，足以知道在什么时间系统中所运行数据是未加密数据。以下内容来自这份SEC文档，“通过我们的调查，我们已确认有近100个文件是在这段时间内入侵者从我们位于弗雷明汉市的系统中所窃取的（我们相信很大一部分是入侵者自己创建的），而且我们怀疑其中包含有消费者数据。不过，由于入侵者所采用的一些技术，使得我们并不能确认这些文件中所包含信息的种类及范围。尽管在2006年我们就已在位于弗雷明汉市的系统中加入了诸多隐蔽及加密措施，但同年入侵者却利用一些技术在支付卡发行商批准过程期间从我们位于弗雷明汉市的系统中窃取支付卡数据，因为在这个时间段数据（包括第二磁道数据）都是未加密直接传输给支付卡发行商的。此外，我们相信入侵者已能使用解密工具来破解TJX所用的加密软件。”

　　

    最后，卢坤思还指出：首席信息官们及信息安全主管们的底线是——永不能放松你们的安全防护。你们可分割你们的数据、擦除你们的数据以及加密你们的数据，但这并不意味着你们的数据是安全的可免遭入侵。要时刻不放松对你系统的保护，要保持系统上你的安全程序有一直运行，要有工作人员时刻关注你的系统，这些是维护计算机安全所应付的代价。如果你不愿付出这些代价，那么也许某天你会发现自己上了每日头条。

　　

    FTI咨询公司执行总监马克.拉希（Mark Rasch）也表示：“加密技术仍是一项至关紧要的工具，只是人们必须认识到它只是诸多安全工具之一。”他表示。“人们往往将密钥与所保护数据保存在同一台设备上，这是及其错误的。理想来说，密钥应保存在单独硬件设备上，并且仅在需要时使用。经常有人把密钥保存在系统的某个地方。这就也比使用的是真正的好锁却将钥匙藏在垫子下。”