彭铭楷

当大部分媒介和民众津津乐道于A国元首拥有多家海外控股公司等谈资时，我们还是应该回归事件的本质，那就是“巴拿马文件”所触发的全世界企业对信息安全的担忧和思考。

2016年4月5日，位于巴拿马的莫萨克·冯赛卡律师事务所客户资料遭到外泄，因被揭露的数据中包含各国政要和精英们的海外资产，这个坊间称之为“巴拿马文件”的事件一时间甚嚣尘上，被全球媒体竞相报道。当大部分媒介和民众津津乐道于A国元首拥有多家海外控股公司、B国首相可能涉嫌逃税等谈资时，我们还是应该透过新闻的表象回归事件的本质，那就是“巴拿马文件”所触发的全世界企业对信息安全的担忧和思考。特别是律师事务所、企业服务机构、投资公司之类拥有大量客户数据的机构，它们的行业特性和“易黑”体质，更容易招致黑客的攻击，一旦 “沦陷”将会给企业带来巨大的财产和声誉损害。

其实“巴拿马文件”只是信息安全事件的冰山一角，它之所以备受关注是因为受害者非富即贵的特殊身份。据调查，仅2015年和2016年第一季度，全球发生的信息外泄事件已不胜枚举，攻击范畴涉及企业、银行、网络、支付系统，甚至政府平台，可以说无一幸免。以下，我们通过列举几则影响力较大的信息外泄事件以作警醒。然而遗憾的是，我们不得不承认，更多的此类事件可能尚未被发现或报道出来。

即使在我们身边，也处处存在着信息外泄的威胁。机构为了业务的需要，如分析客户喜好、服务和产品开发等，往往会收集留存越来越多的个人信息。试想一下你的私人银行，其几乎拥有了你和家人的所有信息：联系方式、家庭状况、收入来源、工作状况、消费习惯等等。一旦这些信息被盗，你可否有种被人剥去外衣的不安全感？更何况，接下来的情况可能更糟，黑客们会通过各种手段利用这些信息来进行犯罪：盗取信用卡、盗用身份、诈骗身边的朋友、公司或合作伙伴……因此，信息安全并不只是一个遥远的概念，它与我们每个人都息息相关。

有关“巴拿马文件”中数据外泄的始末，当事人并未透露一二，我们因此也无从知晓。我们所能预见并担忧的是，“巴拿马文件”或许在下一秒就会降临到中港企业身上。到那时，企业该如何应对？企业的IT部门与信息安全团队要怎样才可侦查出数据外泄的端倪？如何才能采取有效手段避免客户信息被盗取？

围绕上述的疑问，我们尝试利用一些“巴拿马文件”中有限的公开数据作技术分析和评估，看能否找出数据外泄的原因。根据我们的调查，莫萨克·冯赛卡律师事务所与客户之间的日常往来是通过设置电子商务平台来实现支付、信息传递、信息查询和在线申请等服务的。而此电子商务平台所连接的内部数据库就是该律所的核心数据库，即“所有”客户的关键数据，包括客户机密或非机密数据。下图是莫萨克·冯赛卡律师事务所网站服务结构示意图（见图1）。

我们从此网站服务结构入手进行分析， 认为黑客有可能利用以下方法窃取数据：

1.通过客户不经意的行为连接到恶意网站（比如当客户点击不明来历的电子邮件中的网址）。

黑客安装恶意软件（malware）至客户端后，透过“Man-In-the middle”黑客技术，最后利用客户端窃取大量客户数据。

2.透过诈骗电子邮件，伪装成电子商务平台的客服人员向客户发送电子邮件。

当客户打开电子邮件附件， 黑客利用软件漏洞植入恶意软件于客户的手机或计算机， 最后获得该客户ID和密码，直接登录网站。如果所获取的ID和密码并不是普通用户，而是所谓“超级用户”，黑客就几乎可以下载所有客户的数据。

3.通过已掌握的系统基本信息（如系统软件的版本等等）或使用系统漏洞测试工具。

黑客可以测试并找出网站或系统漏洞（譬如Zero-Day），然后利用漏洞直接从数据库（Database）窃取数据。

在我们看来，即使目前全球对于“巴拿马文件”一类的事件尚未有显著的解决之道，但对于企业的信息科技安全风险还是能够通过技术手段，在一定成本的前提下减小到最低。当今科技日新月异，市场环境瞬息万变，企业的信息安全无时无刻不在受到攻击和威胁。想要加以有效的应对，我们必须明白一个道理，那就是企业的信息安全风险如果仅仅依赖于IT和信息安全团队的一己之力是独木难支的，它需要来自整个企业自上而下的统一“基调”和行动力，包括投放更多的人力和物力；高度重视企业现有IT和信息安全功能；提升基础设施的建设和经营模式的控制等等。如此，企业才可以通过种种途径，减少信息安全对公司声誉带来的潜在风险。

（作者为甫瀚咨询公司董事总经理）