摘要

  • Starwood 的预订环境在 2014 年 7 月下旬遭到入侵,这比 Marriott 于 2016 年 9 月 23 日完成对 Starwood 的收购早了两年多。Marriott 的收购文件见https://www.sec.gov/Archives/edgar/data/1048286/000119312516718014/d241360d8k.htm,英国信息专员办公室(ICO)的最终处罚通知见https://ico.org.uk/media2/migrated/2618524/marriott-international-inc-mpn-20201030.pdf
  • 核心的问责问题不在于 Marriott 是否本应在交易完成前了解所有隐藏的事实。而在于在交易完成后,对继承的预订数据库、特权凭证、数据库监控、加密资产清单、服务提供商边界以及数据退役的控制权,能以多快的速度转化为经过验证的控制。
  • 监管机构后来采取了不同的处理方式:ICO 因 GDPR 生效期间的安全漏洞处以 1840 万英镑罚款,美国多州达成了 5200 万美元的和解,美国联邦贸易委员会(FTC)下达了一项为期 20 年的指令。Marriott 在州和解中未承认责任,也未对 ICO 的罚款提出上诉。
  • 记录支持存在继承的运营风险、延迟发现、监控不完整、护照保护不均、加密描述变更以及可执行的补救措施。但不支持确切的唯一受害者人数、攻击者的公开身份,或所有受影响客人均遭受完整欺诈的证明。

收购并非安全认证

收购一家公司往往从商业层面来描述:品牌、客房、忠诚度会员、市场以及交易价值。Starwood 数据泄露事件揭示了为什么一个实时数据系统也是一个第三方信任边界。在交易完成前,买方可能收到陈述、尽职调查材料、合规报告、架构摘要和漏洞披露。交易完成后,买方继承了运营权力。而安全真相可能两者都滞后。

Marriott 于 2015 年 11 月同意收购 Starwood,并于 2016 年 9 月 23 日完成收购。Starwood 成为其间接全资子公司。该交易按客房数和品牌计算创造了全球最大的酒店公司,在收购材料中描述了全球预订足迹,参见https://www.sec.gov/Archives/edgar/data/1048286/000119312516718014/d241360dex991.htm。然而,该预订数据库的安全真相与其商业价值并不一致。根据 ICO 的说法,后来与预订数据库入侵相关的入侵活动始于 2014 年 7 月下旬。

这个时间顺序很重要,因为攻击者最初进入时 Marriott 尚未拥有 Starwood。而重要之处还在于,在交易完成后,Marriott 确实拥有了该公司,而受入侵的预订系统仍在继续运行。Marriott 当时的首席执行官在 2019 年向美国参议院小组委员会表示,交易前的技术审查有限,因为 Marriott 和 Starwood 仍是竞争对手,Marriott 决定退役 Starwood 的预订平台,并且迁移 1270 家酒店花费了两年时间。证词见https://www.hsgac.senate.gov/wp-content/uploads/imo/media/doc/Soresnson%20Testimony.pdf。这些限制是真实存在的。但它们不能免除交易后验证那个仍在处理客人数据的环境的义务。

区别在于信任边界。收购前,Starwood 是一个第三方。收购后,Starwood 的系统变成了 Marriott 继承的运营系统,即使它与 Marriott 的更大网络在技术上是分离的。ICO 发现,Starwood 和更广的 Marriott 网络保持隔离,攻击者未能触及仅在非 Starwood 系统上处理的数据。隔离减小了破坏范围。这也意味着旧系统仍可能是一个入侵者持续存在的地方。

因此,以证据为基础的交易后问责问题是:哪些特权账户被重新验证,哪些服务提供商凭证被轮换,哪些数据库表被监控,哪些数据导出被记录,哪些加密声明被测试,哪些数据字段被映射,哪些副本已退役,以及旧系统的真相能以多快的速度取代卖方的纸面文件。

隐藏的历史与已知的安全历史相冲突

Starwood 的预订数据库泄露不应与 Starwood 早先的销售点系统入侵混为一谈,但那次早先的入侵属于收购风险的背景。Starwood 2015 年年报(见https://www.sec.gov/Archives/edgar/data/316206/000156459016013371/hot-10k_20151231.htm)披露了影响部分酒店销售点系统的恶意软件,并表示当时没有迹象表明预订或忠诚度系统在该事件中受到影响。那份声明并未揭示隐藏的预订入侵者。但它确实表明 Starwood 近期存在安全问题,需要买方进行审查。

美国联邦贸易委员会(FTC)2024 年的投诉书(见https://www.ftc.gov/system/files/ftc_gov/pdf/1923022marriottcomplaint_0.pdf)后来指控了在多次泄露事件中存在的更广泛缺陷,包括与 Starwood 和 Marriott 相关的弱点。该投诉以同意令方式解决,不应被视为审判裁断。其在此处的价值在于展现监管机构后来强调的控制主题类型:网络分段、访问控制、补丁管理、多因素认证、监控、加密保护、数据保留以及对被收购实体的评估。

FTC 的最终指令(见https://www.ftc.gov/system/files/ftc_gov/pdf/1923022marriottfinalorder.pdf)将这些主题转化成长期义务。它要求建立安全计划、隐私计划要素、收购相关评估、风险分析、访问控制、监控、测试、删除和保留控制、董事会报告、认证以及独立评估。该指令并未证明投诉书中的所有指控。它展示了在继承和反复发生的入侵风险之后,监管机构认为必要的前瞻性控制措施。

对交易团队而言,教训是实用的。卖方先前的漏洞披露并不等于相邻系统的健康证明。一份合规报告可能覆盖某个环境而遗漏另一个。一份声明称预订系统在某个销售点事件中未受影响,并不能证明它们在另一次入侵中是干净的。买方需要针对高价值遗留系统制定交易后的威胁搜寻和控制验证计划,尤其是在迁移需要数年的情况下。

时间线:业务控制、技术检测和客人通知是不同的时钟

至少五个日期确定了记录的时间锚点。2014 年 7 月下旬标志着入侵者进入 Starwood 环境。2016 年 9 月 23 日标志着 Marriott 完成收购。2018 年 5 月 25 日标志着 GDPR 对 ICO 法律分析开始适用。2018 年 9 月 7 日和 8 日标志着数据库告警和向 Marriott 的升级汇报。2018 年 11 月 19 日是 Marriott 称调查人员解密了文件并确认涉及 Starwood 预订数据库个人信息的日期。

ICO 的处罚通知通过一个支持 Starwood 员工应用程序的设备上的 Web shell 重建了 2014 年 7 月下旬的入口点。攻击者使用了远程访问工具、窃取凭证、在环境中移动,并最终导出了数据库表。公开记录未提供完整的主机列表、文件列表或确切的最初漏洞。但它确定了收购前后长期未授权的存在。

2018 年 9 月 7 日,IBM Guardium 在一个管理员账户查询受保护客人档案表的行数后生成告警。负责管理 Starwood 客人预订数据库的 Accenture 于 9 月 8 日向 Marriott 升级汇报。Marriott 得知所使用的凭证对应的人员并未执行该查询。该事件是对可疑活动的检测,而非立即知晓每个被导出的文件。它启动了最终的发现路径。

接下来的几天显示了为什么告警、遏制和范围确定是分开的。Marriott 启动了事件响应并聘请了外部调查人员。据 ICO 称,9 月 10 日,另一个与护照相关的表被导出到一个转储文件。9 月 17 日,调查人员发现了一个远程访问木马并屏蔽了命令与控制活动。10 月,调查人员找到了将入侵历史回溯至 2014 年的证据。11 月 13 日,他们发现了加密并删除的文件的踪迹。11 月 19 日,他们解密了文件并确认其中包含来自预订数据库的个人信息。

Marriott 于 11 月 22 日通知 ICO,并于 11 月 30 日公开披露。公司通知见https://marriott.gcs-web.com/news-releases/news-release-details/marriott-announces-starwood-guest-reservation-database-security,其中称该数据库位于美国,并给出了早期的数据字段类别和涉及人数估计。该初始披露的一份稳定 SEC 副本见https://www.sec.gov/Archives/edgar/data/1048286/000162828018014745/a2018118k.htm

ICO 后来在考虑了调查时间线和陈述后,并未对 Marriott 做出最终的第 33 条或第 34 条违规认定。这是一个法律边界。它并未抹去这样的运营现实:客人通知依赖于组织在首次告警后数月内发现、解密和分类所导出文件的能力。

人数和字段必须限定边界

Marriott 的第一份通知使用了大约高达 5 亿客人这一上限,其中约 3.27 亿条记录包含更广泛的字段组合。其 2019 年 1 月的更新(见https://marriott.gcs-web.com/news-releases/news-release-details/marriott-provides-update-starwood-database-security-incident)将上限降低到约 3.83 亿条记录,并警告重复记录意味着唯一客人数量更少。ICO 后来使用了全球约 3.39 亿条客人记录,其中 3010 万条与欧洲经济区(EEA)国家相关,700 万条与英国相关。2024 年多州和解使用了 1.315 亿条与美国相关的客人记录。

这些数字不应叠加。记录不等于唯一的自然人。地区子集并非全球总和的简单相加。诉讼中涉及的数量和监管机构涉及的数量服务于不同的程序目的。Marriott 2018 年年报(见https://www.sec.gov/Archives/edgar/data/1048286/000162828019002337/mar-q42018x10k.htm)更新了护照和支付卡类别的估计数量,并记录了事件成本和保险追偿,但并未将每条记录转化为相同的数据泄露程度。

字段组合也各不相同。初始通知列出了姓名、邮寄地址、电话号码、电子邮件地址、护照号码、Starwood 优先宾客信息、出生日期、性别、到店和离店信息、预订日期、沟通偏好以及部分支付卡数据。ICO 描述了表级别的细节,如 VIP 标记、客房和住宿数据、航班详情、护照国别和号码、入住状态以及房间内成人和儿童数量。有些字段更容易助长欺诈。有些则更方便定向联系。有些即使没有财务凭据也能揭示出行模式或家庭背景。

支付和护照保护情况的公开描述也发生了改变。Marriott 最初描述部分支付卡号和部分护照号码使用 AES-128 加密保护。2024 年 4 月,Marriott 更新了其事件页面,称相关的支付卡号和部分护照号码实际上是使用 SHA-1 进行保护的。FTC 的消费者页面(见https://consumer.ftc.gov/consumer-alerts/2018/12/marriott-data-breach)后来指出了这一区别。NIST 的哈希函数页面(见https://csrc.nist.gov/Projects/hash-functions)和 SHA-1 过渡通知(见https://www.nist.gov/news-events/news/2022/12/nist-transitioning-away-sha-1-all-applications)解释了为什么 SHA-1 是一种哈希函数,以及为什么现代保护不应将其视作普通加密。

2024 年的修正并不证明所有受保护的值都被反转或滥用。但它表明存在加密资产清查方面的失败。一个处理全球预订和护照数据的控制者应该清楚哪些字段是明文、加密、哈希、令牌化或其他转换方式;具体使用的是哪种算法;密钥或机密的存放位置;以及在发布公开通知前这些事实是如何验证的。一项历时五年才从加密修正为哈希处理的变化,会改变受影响者和监管机构看待风险的方式。

ICO 查明了什么,以及未查明什么

ICO 的最终处罚通知是有关 Starwood 预订数据库泄露的最有力的公开行政记录。其范围比完整的 2014–2018 年要窄。它处理的是 Marriott 从 2018 年 5 月 25 日 GDPR 适用之日起,到 2018 年 9 月 17 日识别并遏制远程访问木马为止的数据处理活动。它并未就 GDPR 生效前的时期施加 GDPR 责任,也未裁定 Marriott 交易前的尽职调查在法律上不完善。

GDPR 文本(见https://eur-lex.europa.eu/eli/reg/2016/679/oj)要求控制者采取适当的技术和组织措施,而适当性需结合风险、技术发展水平、成本、环境以及个人权利来评判。ICO 认定存在违反安全原则和第 32 条的行为。其四项主要的安全认定涉及:对特权账户的监控不足、对数据库的监控不足、对关键系统的控制不充分,以及未能对所有护照号码进行加密。

特权账户认定的重要性在于攻击者使用了合法凭证。如果监控仅止步于凭证的有效性,那么数据库或远程会话可能看上去是经过授权的。数据库监控认定的重要性在于最终发挥作用的告警关联到了具有支付卡相关性的表,而其他的个人数据缺乏同等级别的告警设置。关键系统控制认定的重要性在于,那些能够访问大规模个人数据存储的系统应当具备加固和运行控制措施。护照保护认定的重要性在于数百万的护照号码未加密,且没有书面风险评估来解释为何保护程度不一。

ICO 还移除或未最终确定一些在公开叙述中经常被混杂的问题。在考虑 Marriott 对供应商保证和支付卡合规报告的依赖后,ICO 从最终处罚中移除了不完整的多因素认证这一点。ICO 未做出最终的第 33 条违规通知认定,也未做出最终的第 34 条个人通知认定。ICO 承认在竞争对手之间的收购中,交易前的深度尽职调查可能受到限制。这些界限不会让数据泄露事件变小。它们只是让法律记录变得精准。

Marriott 回应 ICO 最终决定的声明(见https://marriott.gcs-web.com/news-releases/news-release-details/marriott-international-update-conclusion-uk-ico-investigation)表示不会上诉,且不承认任何责任。不承认责任的姿态是程序性的。它与 ICO 的最终行政调查结果并行存在。

服务提供商和平台信任

Starwood 的预订数据库不是一个由单一团队拥有并接触的单一内部应用。Accenture 管理着 Starwood 的客人预订数据库,Guardium 生成了关键告警,酒店运营产生预订记录,忠诚度和联络中心流程依赖于该平台,而 Marriott 在迁移酒店的同时必须保持业务连续性。这使得该系统成为一个平台信任边界,而不仅仅是一个数据库。

第三方管理改变了证据问题。控制者可以将运营外包,但仍需要获得关于日志记录、升级汇报、特权访问审查、变更控制、导出监控、数据保留和事件响应的证明。托管服务提供商可能早于控制者看到告警。控制者仍需掌握足够的背景信息,以判断客人数据是否面临风险以及通知义务是否已开始。2018 年 9 月的事件序列表明,告警链条可以发挥作用,但仍会在数周内让范围确定悬而未决。

康涅狄格州宣布的州和解(见https://portal.ct.gov/ag/press-releases/2024-press-releases/multistate-settlement-with-marriott-for-data-breach-of-starwood-guest-reservation-database)以及佛蒙特州录入的判决书(见https://ago.vermont.gov/sites/ago/files/documents/2024.10.09%20Marriott%20Judgment%20VT%20and%20Appendix%20final.pdf)显示了美国州级执法机构如何将这一教训转化为要求。和解内容包括长期安全控制、被收购实体评估、特许经营商和服务提供商相关义务、消费者援助以及款项支付。其中也包括不承认责任。这些禁令条款之所以重要,是因为它们将收购和第三方边界视为持续的控制义务,而非一次性的交易完成问题。

FTC 的最终指令增加了另一层信任边界。它不仅覆盖 Starwood 的预订事件,还覆盖了有关 Marriott 和 Starwood 的一组更广泛的安全指控。其中的收购条款在此处是核心:买方必须评估和处理被收购公司的风险,并将其整合到安全计划中。这正是 Starwood 数据库所揭示的问题。该系统可能处于隔离状态、计划退役且商业上必不可少。但它仍然持有由买方控制的客人数据。

数据本地性只是事实之一

Marriott 的初始通知称 Starwood 的客人预订数据库位于美国。这是一个有用的存储事实。但它并未回答客人是谁、哪些酒店和特许经营商向数据库输入了记录、员工和服务提供商从何处访问了该数据库、哪些监管机构拥有管辖权、存在哪些副本,以及导出文件和取证镜像后来存放于何处。

ICO 统计了与 EEA 和英国相关的记录,因为在欧洲法律下,人和数据处理环境很重要。美国各州为和解而统计了与美国相关的记录。Marriott 当前的隐私声明(见https://www.marriott.com/about/privacy.mi)描述了当前业务中的全球传输、传输机制、安全和保留承诺。它并非 2014-2018 年 Starwood 架构的证据,但它说明了为什么一家全球酒店集团不能将单一的数据库位置作为整个治理答案。

预订系统中的数据主权有多个层次。存储本地性询问主数据库、副本、备份、导出文件、日志和取证镜像的存放位置。访问本地性询问哪些员工、承包商、酒店运营商和服务提供商可以接触数据以及从何处接触。法律本地性取决于客人、酒店、控制者、处理者、特许经营安排和监管范围。业务本地性则跟随住宿的含义:出行日期、同伴、VIP 标记、航班详情、房间需求和目的地。

Starwood 数据泄露事件表明,位于美国的数据库仍可能产生全球性的监管风险和全球性的客户伤害。它还表明,收购尽职调查必须映射副本和访问路径,而不仅仅是主存储位置。一个知道主系统位置但不知道谁能导出表或哪些护照字段受到保护的买方,只有位置知识而没有控制知识。

出行数据中的滥用接触经济学

泄露的数据不需要包含密码或完整的卡号,就能降低滥用的成本。一条预订记录就能让一条信息变得可信。它可以提及酒店品牌、住宿日期、忠诚度关系、出行目的地、航班详情、房间偏好、家庭成员构成线索或沟通偏好。这些背景信息有助于诈骗者减少泛泛之感。

CISA 的钓鱼攻击指南(见https://www.cisa.gov/sites/default/files/2024-02/Update%20to%20Phishing%20General%20Security%20Postcard_01.01.2024.pdf)将针对性钓鱼描述为利用关于个人的关键信息。FTC 针对 Marriott 的消费者建议(见https://consumer.ftc.gov/consumer-alerts/2018/12/marriott-data-breach)警告消费者注意可能利用该事件进行的诈骗。IdentityTheft.gov 指南(见https://www.identitytheft.gov/databreach)为暴露的个人信息提供了一般性的应对步骤。这些来源并不证明某位特定客人遭受了某种特定的诈骗。它们所支持的,是所泄露的数据类别所创造的风险路径。

出行数据还具有欺诈之外的个人背景。到店和离店日期可以揭示本人离家、商务出行、医疗出行、家庭探访或人际关系。护照号码是持久性标识符。忠诚度信息可以将不同时间的住宿关联起来。VIP 标记或房间要求可以揭示服务期望或家庭情况。因此,即使在没有确认银行卡欺诈的情况下,滥用接触经济学也应属于影响分析的一部分。

数据最小化问题随之而来。以前的预订数据应在在线系统中保留多久?在结账后、在累积忠诚度积分后、在争议处理窗口期后、在税务周期后或在法律保留要求后,哪些字段是必要的?哪些字段可以被令牌化、屏蔽、删除或分离?备份和导出文件需要与生产环境相同的保留逻辑。否则,遗留数据库可能仅仅因为操作上方便而保留数据,而不是因为每个字段都仍有必要。

关于继承风险记录的排版说明

被收购系统的安全记录必须能够同时被高管、工程师、律师、服务提供商和监管机构所理解。密集的调查发现可能会隐藏决定性的缺陷。下面插入排版说明板块,是因为对继承风险的呈现方式会影响控制者是否看到必须改变的地方。

字体排印是安排文字以使书面语言清晰、易读且在视觉上吸引人的艺术和技术。它涉及选择字体、字号、行长、行距和字间距。

  • 字体排印起源于 15 世纪约翰内斯·古腾堡发明的活字印刷。
  • 关键要素包括字体选择、字距调整、字符间距和行距。
  • 良好的字体排印能增强可读性并传达设计中的情绪或基调。

对于一项收购而言,可读的记录意味着要有一张一页的边界地图,将已知事实、卖方陈述、未验证的声明、必须执行的测试、凭证操作、数据副本、加密状态、服务提供商职责以及退役日期区分开来。如果这些要素被埋没在交易文档和工具导出数据中,组织可能会认为自己已经接受了风险,却不清楚自己究竟接受了何种风险。

务实控制下的问责

攻击者控制了未经授权的入侵、持久化、凭证滥用和数据导出。此处审查的公开记录均未识别出攻击者,也未裁定其动机或国家背景。对犯罪性访问的责任仍归属于实施该行为的行动者。

Starwood 在最初入侵发生时控制着环境。它拥有或运营着让攻击者在 Marriott 收购前得以进入并持续存在的系统、凭证和监控。它还将之前的销售点入侵历史带入了交易。这并不能证明 Starwood 知晓预订系统的入侵者。但这意味着隐藏的环境是卖方侧的信任对象。

Marriott 控制着交易后的环境以及迁移计划。一旦它拥有了 Starwood,它就控制着是否重置遗留凭证、是否监控特权账户、是否扩大数据库告警范围、是否加固关键系统、是否评估护照字段、是否验证加密声明,以及是否加速或缓解退役进程。Marriott 还控制着发现后的客户通知和公开更新。其控制因业务连续性和规模而受限,但并非不存在。

服务提供商在其边界内控制着托管运营、告警和升级汇报。Accenture 在管理数据库和升级 Guardium 告警中的角色表明,为什么第三方运营必须具有明确的事件阈值、证据交接和控制者权力。服务提供商可以成为早期检测者。控制者仍必须决定通知、范围确定和补救措施。

监管机构控制了可强制执行的纠正。ICO 的罚款、州和解以及 FTC 指令将安全教训转化为义务。它们并不证明每一项私人索赔。但它们清楚地表明,收购并不会将责任冻结在交易前所知的状态。所有权带来了测试和改进继承控制措施的义务。

客人几乎控制不了什么。他们预订房间、加入忠诚度计划、提供护照和联系信息,并依赖于酒店的运营。他们可以在事后监控银行卡或对通知做出回应。但他们无法检查 Starwood 的数据库监控、轮换特权凭证、验证加密声明或加速系统退役。这种不对称就是为什么它应该被纳入问责记录的原因。

可验证的整合需要什么

补救的教训不是“永远不要收购遗留系统”。而是收购整合必须包括基于证据的安全真相查找。买方应在交易完成前对高风险继承系统进行分类,然后在交易完成后立即开始验证:重置特权身份、审查服务提供商访问权限、进行端点和服务器威胁搜索、记录数据库导出日志、进行控制覆盖率比较、制作加密资产清单、进行数据保留审查、进行备份映射以及进行迁移风险评估。

对于预订数据库,证据应达到字段级别和副本级别。哪些表存储了护照号码?哪些存储了支付卡残留数据?哪些存储了同行旅客、儿童、忠诚度标识和沟通偏好?哪些字段是明文、加密、哈希或令牌化的?哪些应用程序可以请求它们?哪些用户可以导出它们?哪些日志显示了全表复制?哪些备份保留了它们?哪些法律或业务目的证明了保留的合理性?

对于第三方信任,买方应了解哪些提供商管理着该系统、他们接收哪些告警、哪些阈值需要升级汇报、他们保留哪些日志、他们持有哪些凭证、如何管理分包商,以及在发生疑似入侵后控制者如何获取证据。一份供应商报告如果无法与具体系统和数据类别对应,则是不够的。

对于通知,组织应能够提供针对具体客人的说明:涉及哪些字段、哪个时间段、哪种记录来源、采取了哪些保护措施、还有哪些不确定性,以及后续会有哪些更新。最初的广泛通知可能是必要的,但后续在数量、字段或加密事实发生变化时,应当预期会有修正。

退役不等同于消除风险

Marriott 退役 Starwood 预订平台的计划在商业和运营上都具有重要意义。退役可以成为一种强有力的控制措施:它可以减少在线攻击面、迫使迁移到治理更好的平台,并可以终结对遗留凭证和工具的依赖。但退役并非瞬间消除风险。一个计划停用的系统,在其仍处理预订、支持酒店运行并包含历史记录时,仍然可能高度敏感。

Marriott 所述的为期两年的迁移创造了一个过渡期。在此期间,继承的平台仍然需要监控、加固、凭证审查、导出日志记录和数据最小化。退役日期不能证明在到达该日期之前可以实施更弱的控制。在某些情况下,它可能造成相反的风险:团队可能不愿为预期要退役的系统投入控制资源,而攻击者则得益于此剩余的窗口期。

一个安全的退役计划应有超出“停止将系统用于业务运营”的里程碑。它应识别备份、副本、导出文件、取证镜像、管理员账户、服务账户、供应商访问、加密密钥、日志存储、数据供给和下游副本。它应决定哪些必须出于法律或业务原因而保留,哪些应予删除或转换。它应验证退役后的凭证无法再触及存档。它应在不留下不必要暴露数据的情况下,保留诉讼或监管审查所需的证据。

Starwood 案例显示了这一点的重要性。据报道,在线的预订数据库于 2018 年底退役,但入侵调查、监管行动、集体诉讼、州和解、FTC 指令以及加密纠正持续了数年。一个系统可能离开生产环境,但仍处于问责的中心。关于它曾包含什么、谁访问过它、它是如何受到保护的,以及副本是如何处理的记录,会成为后续每一项程序性事项的证据基础。

退役也会与客人的权利发生交互。如果客人询问涉及了哪些数据,答案不能随旧平台一同消失。如果监管机构询问某个字段为何保留或如何受到保护,组织在迁移后仍需记录。如果一家公司后来纠正了加密描述,它必须足够理解旧应用程序的行为和存储的值,以解释该纠正。在没有保留控制证据的情况下进行退役,会使后续的真相查找更加困难。

加密管理是一种管理控制

从 AES 到 SHA-1 的纠正常被当作技术注脚。将其理解为一种管理控制信号更为恰当。只有当组织知道实际应用了何种保护时,加密技术才能保护人。这种知识必须跨越合并、供应商运营、遗留应用、公开通知和诉讼而存续。

一个字段级别的加密资产清单应回答若干问题。哪个字段受到保护?转换是可逆加密、单向哈希、令牌化、屏蔽、截断还是其他方法?使用了哪种算法和模式?是否存在盐值或密钥?密钥或机密存放于何处?哪个应用程序可以请求原始值?哪些日志显示了使用情况?哪些旧版本使用了不同的方法?哪些通知或政策描述了该保护?谁有权在公布前对声明进行认证?

在被收购的系统中,这些答案可能分散在卖方文档、代码、数据库设置、供应商说明、开发人员记忆和旧的合规报告中。买方应假定标签在测试前可能是错误的。“受保护”是不够的。“已加密”是不够的。以 token 或 hash 结尾的字段名是不够的。证据需要检查存储的值、应用程序调用、密钥服务和恢复路径。

护照号码的调查发现强化了同一点。问题不仅在于数百万护照号码未加密。还在于 Marriott 缺乏书面风险评估,以解释为何部分护照号码受到的区别对待。选择性的保护可以是合理的。它可以反映遗留约束、业务需求或分阶段迁移。但它必须被记录下来,并根据暴露后果进行审查。否则,不均衡的保护看起来更像是意外而非风险决策。

加密管理还会影响通知质量。如果一个组织告诉人们他们的卡号或护照值是加密的,那么这些人可能会合理地推断出与值经过 SHA-1 哈希处理或未加密时不同的风险。如果该组织后来更改了描述,那么纠正应当说明更改了什么、哪些值受影响、对滥用意味着什么,以及仍存在哪些不确定性。这不仅仅是沟通上的卫生。它是身份数据负责任管理的一部分。

收购手册应当列出未知事项

交易文化偏好确定性。安全整合需要一份未知事项清单。买方应知道继承环境的哪些部分已经过验证,哪些来自卖方陈述,哪些为了业务连续性而被假定,以及哪些仍未经测试。一份风险登记册如果将一个未知事项标记为一项已接受的风险,会比一份用宽泛保证掩盖该未知事项的尽职调查备忘录更有力。

对于一个全球预订平台,未知事项应包括数据副本、特权账户、服务提供商访问、面向外部的系统、旧入侵遗留、不受支持的软件、日志缺口、加密状态和数据保留。每个未知事项都应有负责人和截止日期。有些将通过迁移解决。有些需要在系统仍在线时实施补偿控制。有些可能在买方理解了数据规模后变得不可接受。

这种方法还能保护买方免受虚假的事后认知所累。它承认并非所有事实都能在交易完成前被知晓。然后它创造了一项交易后减少不确定性的义务。失败不在于无法在第一天知道一切。失败在于让交易第一天的不确定性在继承系统仍持有客人数据时变成第二年的不确定性。

通知质量取决于整合质量

客户通知常被当作一个法定截止期限问题。Starwood 事件表明,通知质量取决于入侵被证实前很久就已存在的整合质量。如果组织不知道哪些表持有哪些字段、重复项如何对应到个人、多少护照号码是明文、哪些值受到保护,以及哪些记录属于哪个地区,那么通知要么会过于宽泛、延迟、被纠正,要么三者全占。

Marriott 的第一份通知使用了谨慎的上限,因为调查人员仍在分类记录和处理重复项。这在大型继承系统中或许不可避免。但长期的控制教训是,高风险系统的客人数据目录应当预先存在。它们应描述字段的目的、敏感性、地区、保留期限、加密状态、访问角色和导出路径。它们应与实际的数据库内容进行核对,而不仅仅依据应用程序文档。

这也影响监管机构。评估通知时间或充分性的监管机构需要知道控制者是何时意识到涉及个人数据的,以及哪些事实是合理可得的。如果控制者自身的整合过程无法区分账户表和护照表,或者无法区分重复记录和唯一的客人,那么法律分析就会与技术债务纠缠在一起。更好的整合既能减少事件混乱,也能减少后来的法律不确定性。

同样的原则也适用于公开纠正。Marriott 2024 年的 SHA-1 更新与最初的加密描述存在实质性差异。在事实已知后数年进行纠正或许是负责任的行为,但它也表明最初的证据链条不够坚实。一个收购后的安全计划应当包含这样一条规则:公开的加密描述在通知前由技术所有者验证,并且在遗留证据发生变化时定期重新审视。

酒店业内部的云依赖

本概要部分地将此案归类为云服务依赖,因为预订平台作为共享基础设施为全球酒店业务运营服务,即便它并非现代意义上的公有云。酒店、联络中心、忠诚度服务、托管服务提供商以及公司团队都依赖于一个中心化平台的可用性和完整性。那个平台集中了来自众多物业和司法管辖区的数据。

这种依赖性就是为什么该入侵事件影响的不只是企业所有者。特许经营商、托管酒店、客人、支付卡团队、护照持有人、忠诚度会员、监管机构和服务提供商都在同一个继承系统中拥有利害关系。一家本地酒店无法检查数据库监控。客人无法知道护照字段是否加密。服务提供商可以升级一个告警,但只有控制者才能协调客人通知和全球响应。

对于收购规划,务实的控制是依赖性映射。如果遗留的预订平台被隔离,哪些业务功能会停止?哪些酒店仍依赖它?迁移期间哪些数据供给会继续?哪些第三方可以访问它?哪些客户承诺依赖于它?一个仅绘制技术组件的买方会错失那些可能让高风险系统保持存活的业务压力。而绘制依赖关系的买方可以在迁移进行中获得理由,证明补偿性控制是合理的。

最终评估为高影响且高可信度。Marriott 继承了一个在线的、已被入侵的预订平台。该事实并未使 Marriott 成为最初的入侵者,也未证明它本应在交易完成前知晓所有细节。但它确实使 Marriott 对交易完成后的时期负有责任,在此期间它控制了被收购的系统、处理了客人数据,并且不得不将第三方信任转化为经过验证的控制。收购可以在一夜之间买下品牌。它买不到确定性。确定性必须被构建、被测试并展示出来。

字体排印

字体排印是安排文字以使书面语言清晰、易读且在视觉上吸引人的艺术和技术。它涉及选择字体、字号、行长、行距和字间距。

  • 字体排印起源于 15 世纪约翰内斯·古腾堡发明的活字印刷。
  • 关键要素包括字体选择、字距调整、字符间距和行距。
  • 良好的字体排印能增强可读性并传达设计中的情绪或基调。