2018年大大小小的安全事件中，數(shù)據(jù)泄露最為引人關(guān)注，其中因第三方導致的泄露事件不占少數(shù)。無論是由于服務(wù)提供者所管理的在線資源配置不當、還是不安全的第三方軟件，或是與第三方不安全通信渠道，如果組織并未有足夠地關(guān)注與防范，那么與第三方合作可能會使組織面臨巨大的風險。

以下六個事件，說明了缺乏對合作伙伴和供應(yīng)商的風險管理會帶來怎樣嚴重的后果。

一、信用卡申請人數(shù)據(jù)泄露

最近發(fā)生的安全事件，美國銀行信用卡發(fā)行商TCM Bank公開消息，由于第三方供應(yīng)商管理的網(wǎng)站配置錯誤，導致在2017年3月初至2018年7月中旬之間暴露了長達16個月的信用卡申請人數(shù)據(jù)（包含姓名、地址、出生日期、社會安全號碼）。事后，TCM Bank要求供應(yīng)商查看他們的技術(shù)和程序，以防止類似問題的發(fā)生。

二、數(shù)百萬客戶郵件地址暴露

今年6月，賽門鐵克的身份保護服務(wù)Lifelock出現(xiàn)了一件尷尬的事情:該公司發(fā)現(xiàn)，網(wǎng)站上的一個漏洞暴露了數(shù)百萬客戶的電子郵件地址，而問題出在由第三方負責管理的網(wǎng)站頁面。

三、消費者個人信息及銀行卡數(shù)據(jù)泄露

活動票務(wù)巨頭公司Ticketmaster爆出數(shù)據(jù)泄露事件，包含用戶個人信息和銀行卡數(shù)據(jù)，事件影響近5%的全球用戶。事件是由第三方服務(wù)商Inbenta Technologie引起的，Inbenta Technologies為Ticketmaster提供軟件開發(fā)服務(wù)，而涉事軟件中含有惡意代碼。事件的背后，是一個名為Magecart的威脅組織發(fā)起的攻擊行動。研究人員發(fā)現(xiàn)，Magecart通過在第三方組件和服務(wù)上安裝惡意代碼攻擊了全球800多家電子商務(wù)網(wǎng)站。

四、百余家制造企業(yè)商業(yè)機密泄露

今年夏天，包括通用汽車、菲亞特克萊斯勒、福特、特斯拉、豐田和大眾在內(nèi)的100多家制造企業(yè)因第三方泄露重要商業(yè)機密而受到打擊。這起事故是由一家名為Level One Robotics的公司引起的，這家公司提供工業(yè)自動化服務(wù)。研究人員發(fā)現(xiàn)，VPS租用 國內(nèi)服務(wù)器，曝光來自rsync，這是一種用于備份大型數(shù)據(jù)集的通用文件傳輸協(xié)議，因rsync服務(wù)器沒有受到限制，連接到rsync端口的任何rsync客戶端都有權(quán)下載此數(shù)據(jù)。此事件將157GB的數(shù)據(jù)置于危險之中，其中包括裝配線結(jié)構(gòu)圖、工廠平面圖、機器人配置和文檔。

五、4.5萬份患者就醫(yī)記錄泄露

Nuance是語音識別軟件的第三方提供商，為醫(yī)療機構(gòu)提供醫(yī)療轉(zhuǎn)錄服務(wù)。今年5月，因系統(tǒng)漏洞，導致包括舊金山衛(wèi)生局和加州大學圣迭戈分校在內(nèi)的客戶信息泄露，曝光了4.5萬份患者記錄。

六、消費者敏感信息泄露

第三方在線聊天和支持服務(wù)提供商-[24]7.AI，在今年導致了包括西爾斯、達美航空和百思買在內(nèi)的多個主要品牌的消費者PII記錄被曝光。包含消費者的姓名、地址、信用卡號碼、CVV號碼信息。

對第三方安全風險進行管理

相比企業(yè)內(nèi)部的風險管理，對第三方風險管理更具有挑戰(zhàn)性，對擁有成百上千供應(yīng)商的組織來說，更是如此。2018年6月，“安全值”聯(lián)合“供應(yīng)鏈安全聯(lián)盟”發(fā)布了《第三方安全風險管理能力框架》，文中提到“第三方是組織的擴展，其行為可以直接影響到合規(guī)性和品牌聲譽。這就要求企業(yè)對幾十個，幾百個甚至數(shù)千個第三方進行調(diào)查，評估和后續(xù)跟進，并對風險采取行動。第三方風險管理能力將應(yīng)用于從合同簽訂之前到合同執(zhí)行過程中一直到合同完成之后整個生命周期，并且在數(shù)字化環(huán)境下，風險控制需要得到領(lǐng)導充分的重視和支持，經(jīng)多個業(yè)務(wù)和職能部門的協(xié)同來完成。”可見，對第三方合作伙伴的風險管理，服務(wù)器租用 免備案服務(wù)器，任重而道遠，過程更需要科學的方法。