概述

  • Nissan 澳大利亚和新西兰的通知称,2023 年 12 月 5 日,一名恶意第三方未经授权访问了 Nissan 的本地 IT 服务器,部分客户、员工及其他利益相关者的个人信息被窃取并发布在暗网上。通知还解释称,在 Nissan 的响应过程中使用的呼叫中心供应商 OracleCMS 发生了另一起数据泄露,暴露了为支持受影响人员而提供的摘要信息。
  • 该事件之所以重要,是因为汽车数据不仅仅是营销数据。一家区域性汽车企业及其金融部门可能持有姓名、联系方式、出生日期、身份证件详细信息、金融和保险信息、车辆关系、维修历史以及利益相关者记录。这些记录将出行、信贷、家庭身份、经销商和售后支持关联在一起。
  • 最关键的问责问题不在于 Nissan 是否受到攻击。入侵和公开行为应由犯罪者承担责任。问题在于谁控制了本地服务器安全、数据最小化、金融数据可达性、响应供应商选择、客户通知、支持连续性以及受影响人员可用的证据。
  • OracleCMS 事件改变了事件的性质。它表明,泄露响应本身可能创建第二个暴露面——当公司向供应商提供浓缩的泄露影响信息以供呼叫中心回答问题时。本意旨在帮助客户的摘要,变成了另一个需要保护的记录。
  • 公开证据支持一个高信度结论:该事件暴露了区域数据治理的弱点和客户支持风险。但它不支持这样的发现,即 2023 年 12 月澳大利亚和新西兰事件导致 Nissan 全球生产系统、车辆安全系统或每个国家的子公司受到侵害。

区域服务器是全球信任承诺的一部分

如果将此事件视为与汽车制造商全球业务无关的小型本地泄露,那么 Nissan 事件最容易被误解。公开事实是区域性的:Nissan 澳大利亚和新西兰的通知称,受影响的事件涉及 Nissan Motor Corporation 和 Nissan Financial Services 在澳大利亚和新西兰使用的本地 IT 服务器。问责承诺更为广泛。客户在全球品牌下购买车辆和融资,与当地经销商打交道,与国家金融和保险业务互动,并期望他们在业务某个部分提供的数据能以整个品牌的严肃性进行治理。

Nissan 的公开通知是主要来源。通知称,2023 年 12 月 5 日,一名恶意第三方未经授权访问了 Nissan 澳大利亚和新西兰的 IT 服务器;Nissan 采取了遏制措施;公司与其全球事件响应团队及网络安全专家合作。通知称,部分客户、员工和其他利益相关者的个人信息被窃取并发布在暗网上。通知还告知受影响人员,由于无法通过可用联系方式联系到某些人,因此该公开通知也适用于这些人。(Nissan 澳大利亚和新西兰网络事件通知)

这种官方措辞很重要,因为它界定了证据边界。该事件不仅仅是犯罪泄露网站上的一个说法。Nissan 公开承认了未经授权的访问、个人信息失窃和暗网发布。同时,该通知并未提供完整的取证报告。它没有公布初始访问方法、权限级别、受影响的数据库列表、逐系统时间线、受影响的确切人数、按国家划分的损失分类、赎金要求、支付决策或完整的补救路线图。这些限制应在分析中保持。

新南威尔士州政府的身份支持页面提供了额外的公共服务记录。它描述称,2023 年 12 月 5 日,一名恶意第三方未经授权访问了 Nissan Motor Corporation 和 Nissan Financial Services 在澳大利亚和新西兰的本地 IT 服务器。(新南威尔士州身份支持 Nissan 数据泄露页面) 该州支持页面并非对 Nissan 的技术审计。它有用是因为它表明该事件已进入受影响的澳大利亚人使用的身份支持渠道。

服务器的区域性并不降低记录的敏感性。本地金融客户仍可能拥有难以替换的身份、信贷和车辆记录。员工仍可能有就业相关信息被暴露。与经销商相关的利益相关者仍可能面临诈骗或冒充风险。区域数据系统并不因为它们不位于全球总部就成为二流系统。

汽车数据是一张关系地图

汽车数据通常被描述为客户信息,但这一说法过于单薄。汽车关系可能包括购车咨询、试驾、经销商谈判、服务预约、召回通知、保修索赔、道路救援、金融申请、保险产品、付款历史、投诉处理、以旧换新、商业车队信息和家庭联系方式。区域金融部门可能比制造商的营销数据库持有更丰富的身份和信贷信息。服务记录可以将一个人与地点、车辆识别号、经销商、维护模式和家庭日常关联起来。

Nissan 澳大利亚的隐私和信用信息页面表明数据表面为何如此广泛。该页面涵盖 Nissan Motor Co. Australia、Nissan Financial Services 以及信用报告政策,并明确了车辆、金融和相关服务中的隐私处理。(Nissan 澳大利亚隐私和信用信息政策) 金融服务联系页面则展示了围绕现有合同、付款、投诉和外部争议解决的客户服务和争议解决环境。(Nissan Financial Services 联系页面) 这些页面并非事件证据,但它们解释了泄露发生的正常客户关系。

Nissan 的通知称,该通知涵盖的业务包括 Nissan Financial Services、Nissan Insurance、Mitsubishi Motors Financial Services、Skyline Car Finance、Skyline Car Insurance、Renault Financial Services、Renault Insurance 和 Infiniti Financial Services。这是一个关键事实。一个人可能即使不认为自己是当前的 Nissan 品牌买家也可能受影响。品牌和金融生态系统比车辆上的标志更为广泛。

这种广泛性改变了通知义务。简单的“Nissan 客户”标签可能无法告诉一个人 Nissan 为何持有该记录、哪个业务名称收集了它、涉及哪个金融或保险产品,或者该记录是否与当前合同、以前的合同、员工关系或利益相关者联系有关。前金融客户可能需要与当前车辆服务客户不同的建议。员工可能需要就业和身份支持。涉及身份证件的客户可能需要针对具体证件的步骤。

问责点在于数据最小化和数据沿袭。Nissan 及其区域业务部门控制着哪些记录被收集、保留多长时间、存储在哪里、哪些系统可以访问、哪些供应商可以接收衍生摘要,以及客户在事件发生后如何理解这种关系。受影响的人可以警惕诈骗,但他们无法从外部重建 Nissan 的保留地图。

第二次泄露暴露了响应层

OracleCMS 泄露正是使得该事件特别具有教育意义的地方。Nissan 的通知称,作为事件响应的一部分,Nissan 建立了一个专门的呼叫中心并将其外包给 OracleCMS。OracleCMS 收到摘要信息,以帮助收到泄露通知信的人回答问题。OracleCMS 随后于 2024 年 4 月 15 日报告了一起单独的数据泄露,OracleCMS 持有的某些数据,包括 Nissan 提供的摘要信息,被泄露并发布在暗网上。

新南威尔士州政府单独的 OracleCMS 页面总结了公共服务视角:OracleCMS 报告了一起数据泄露,其中包括在 Nissan 澳大利亚和新西兰网络事件期间泄露的信息,这些信息已被发布在暗网上。该页面解释称,OracleCMS 是被用于建立 Nissan 泄露呼叫中心的供应商,并拥有回答受影响个人问题的摘要信息。(新南威尔士州身份支持 Nissan OracleCMS 数据泄露页面)

这并非脚注。它表明泄露响应会创建新数据。为了帮助客户,公司可能为每个人创建有关发生情况的浓缩记录。这种摘要可能比原始系统记录更便于呼叫中心座席使用。它可能包括人员、联系路径、通知组、受影响的类别、支持代码和响应脚本。它之所以有用,是因为它使支持变得实际。它之所以危险,是因为它将泄露的含义浓缩为一种更小、更便携的形式。

因此,问责问题不仅是“第一个服务器是否受到保护?”还包括“响应数据集是否受到保护?”公司应知晓其发送给事件响应供应商的是什么数据、如何最小化、保留多久、如何加密、谁可以访问、供应商系统如何监控、事件摘要如何删除,以及如果支持供应商后来发生泄露,公司将如何通知人们。

响应层也可能产生滥用接触经济学。攻击者和诈骗者重视上下文。原始姓名和电子邮件地址可支持普通网络钓鱼。一份摘要说明此人收到了 Nissan 泄露信、某些类别受到侵害并拥有一个支持代码,则可以支持更具说服力的冒充。诈骗者可以冒充 Nissan、OracleCMS、政府身份支持服务、经销商、保险公司或金融代表。摘要对支持的有用性正是它对滥用有用的原因。

这并不意味着外包呼叫中心本身是错误的。大型泄露可能需要激增的容量,而区域办公室单独无法提供。责任在于将支持供应商视为事件风险边界的一部分。泄露响应采购应包括数据最小化规则、安全访问要求、供应商安全审查、保留限制、删除验证、监控、泄露报告义务,以及不要求呼叫者提供不必要敏感信息的脚本。

公开来源关于规模的说明

Nissan 的官方通知按类别而非单一标题数字说明。它称一些客户、员工和其他利益相关者的个人信息被窃取并发布。SecurityWeek 于 2024 年 3 月报道,Nissan Oceania 正在通知约 100,000 人,该事件在报道中归因于 Akira 勒索软件攻击。(SecurityWeek 关于 Nissan 数据泄露的报道) The Record 同样报道称,澳大利亚和新西兰约 100,000 人受到影响,并将该事件置于汽车和金融数据暴露的更广泛历史中。(The Record 关于 Nissan 澳大利亚和新西兰泄露的报道)

这些外部报道是有用的,但必须谨慎处理。对于 Nissan 自身关于未经授权访问、暗网发布、支持安排和 OracleCMS 的声明,官方通知是更有力的证据。有信誉的网络安全新闻对报告规模和威胁行为者背景很有用。除非消息来源引用或链接了相关的公司声明,否则不应将其转化为 Nissan 的官方承认。Carsales 也报道称,Nissan 已确认数据被访问并发布在暗网上,并敦促客户更改密码、尽可能启用多因素身份验证并避免可疑链接。(Carsales 关于 Nissan 本地数据访问的报道)

公开记录不提供按国家、按类别划分的完整损失表。然而,它确实支持一个强有力的结论:受影响的人群规模足够大,需要公共身份支持页面、专门的呼叫中心响应和广泛的媒体报道。身份和支持负担并没有在初始服务器访问被遏制后就结束。

数据类别也比单一数字更重要。Nissan 的通知称,人们应参考其通知信以获取关于哪些个人信息受到影响的具体信息以及访问支持服务的唯一代码。这种设计表明了个体差异。有些人可能只涉及基本的联系方式。其他人可能涉及更敏感的身份、金融或就业相关记录。负责任的报告不应抹平这些差异。

Akira 背景有用,但归因不是全部事实

几份公开报道将 Nissan Oceania 事件与 Akira 勒索软件联系起来。CISA 关于 Akira 勒索软件的联合咨询文件描述了 Akira 是一种使用双重勒索手段(数据窃取和加密)的勒索软件威胁,并基于执法部门和合作伙伴的报告提供了指标和缓解措施。(CISA StopRansomware Akira 咨询文件) 该咨询文件不是 Nissan 的取证报告。它的相关性在于它描述了在公开报道中通常与该事件相关的威胁模型。

负责任的措辞是有边界的。可以合理地说,该事件在公开报道中与 Akira 勒索软件相关联,且 CISA 的 Akira 咨询文件解释了更广泛的勒索软件模式。若称 CISA 在咨询文件中独立归因了 Nissan 的事件,除非咨询文件本身确实如此,否则不公平。同样,使用勒索软件标签替代 Nissan 特有的根本原因也是不公平的。该标签没有告诉读者此案例中的初始访问是否涉及 VPN、凭据、未打补丁的软件、远程管理、网络钓鱼或供应商访问。

CISA 咨询文件对于控制措施仍然有用。它强调了诸如多因素身份验证、漏洞修复、网络分段、凭据卫生、监控、备份和事件响应等缓解措施。这些是一般控制措施,并非 Nissan 缺乏它们的结论。它们定义了公开问责记录所需的证据:使用了哪个访问路径、哪些控制措施减缓或未能减缓攻击者、哪些数据存储是可到达的、哪些系统被加密或窃取,以及 Nissan 在遏制后如何验证环境。

澳大利亚的响应指南指向同一方向。澳大利亚网络安全中心(ACSC)的网络事件响应计划指南鼓励组织在事件发生前制定计划、角色、通信和剧本。(ACSC 网络事件响应计划指南) 澳大利亚信息专员办公室(OAIC)指向 ACSC 预防建议的指南强调准备、员工意识、多因素身份验证和实际安全措施。(OAIC 引用 ACSC 建议的指南)

教训不是每个组织都能阻止每个勒索软件行为者。教训是,处理金融和车辆数据的公司应该能够显示实施了哪些预防和响应控制措施、哪些失败了、哪些起作用了,以及哪些发生了改变。勒索软件归因确定了攻击者责任,但不能取代公司控制证据。

通知成为身份支持工作流

Nissan 的通知引导受影响人员查阅信中的详细信息和相关支持服务。新南威尔士州身份支持为 Nissan 事件和 OracleCMS 事件分别发布了页面。IDCARE 的公开数据泄露支持页面描述了其支持受数据泄露影响的个人和组织的角色。(IDCARE 数据泄露支持) Scamwatch 提供了关于识别和避免诈骗的更广泛公开指南。(Scamwatch)

这些来源显示了客户损害的实际形态。受影响人员可能需要警惕冒充、联系银行或信用提供商、更改密码、启用多因素身份验证、监控账户、在适当情况下更换身份证件,并对提及泄露的来电或消息保持警惕。但客户不知道完整的数据地图。公司必须告知他们足够的信息,以使这些步骤具有针对性而不是泛泛而谈的焦虑。

通知质量有几个维度。第一,准确性:通知应说明该人涉及哪些数据类别,而不仅仅是“一些数据”受到影响。第二,完整性:如果后续供应商泄露重新暴露了第一次泄露的摘要,客户应分别理解第二次事件。第三,可用性:支持代码、电话线和在线资源不应要求人披露超出必要的更多敏感信息。第四,持续时间:支持应持续足够长时间以应对延迟的诈骗和身份风险。第五,清晰性:官方渠道必须易于与诈骗渠道区分开来。

OracleCMS 泄露带来了一个特殊的通知问题。受影响人员可能收到一封关于 Nissan 事件的信,然后得知支持摘要也因为支持供应商被泄露而发布。这可能感觉泄露在重复。清晰的通知应将原始数据类别与摘要类别分开,解释是新的原始记录被暴露还是之前暴露的摘要被暴露,并说明这对人的风险态势有何变化。

这正是滥用接触经济学变得具体的地方。一个拥有泄露摘要描述的骗子可以使联系看起来合法。因此,公司和相关支持机构应减少电话或电子邮件脚本中重复多少敏感细节,警告客户关于确切的冒充场景,并避免要求人们以训练他们向来电者分享敏感数据的方式进行身份验证。

数据主权既是法律和实践问题,而不仅仅是地理问题

该事件还表明,数据主权不仅仅是服务器所在地。Nissan 受影响的业务在澳大利亚和新西兰运营;本地通知和新南威尔士州的支持页面将该事件置于澳大利亚和新西兰客户背景中。但控制者是一个拥有区域子公司、金融产品、保险名称、经销商和服务提供商的全球汽车集团。法律责任、运营访问和客户期望不会折叠成一个国家标签。

Nissan 的全球投资者页面和综合报告材料展示了一个跨全球区域、品牌、运营和风险主题组织起来的集团。(Nissan 业绩、报告和演示文稿) (Nissan 综合报告页面) Nissan 2024 综合报告传达了集团战略、治理和业务方向,但并未作为 2023 年 12 月澳大利亚和新西兰事件的详细事后分析。(Nissan 2024 综合报告 PDF) Nissan 新闻发布室关于综合报告的公告提供了发布背景。(Nissan 综合报告发布)

不应过度使用这些全球材料。它们不能证明 2023 年 12 月区域服务器内发生了什么。它们确实表明全球治理为何重要。与 Nissan Finance Australia 互动的客户在泄露期间不会阅读全球治理文件。然而,集团应具备区域数据清单、供应商监督、事件升级、隐私治理和事后学习的共同纪律。

数据主权在此至少有四个层面。物理或基础设施地域涉及数据所处位置。法律地域涉及适用的隐私、信贷、消费者和就业规则。运营地域涉及哪些区域团队和供应商可以访问数据。集团治理涉及全球公司能否看到、质疑和改进区域业务使用的控制措施。一个层面的泄露可能在其他层面造成损害。

OracleCMS 事件增加了第五个层面:响应地域。即使原始 Nissan 记录位于 Nissan 控制的区域环境中,响应过程也创建了供应商持有的副本或摘要。该响应副本有其自己的地域、控制、保留期限和泄露风险。一个仅映射原始数据库而忽略响应数据集的数据主权项目是不完整的。

Nissan 控制了什么和没有控制什么

Nissan 没有控制犯罪者入侵、窃取数据或发布数据的决定。该行为属于攻击者。Nissan 控制着区域数据环境、保留数据量和敏感程度、本地 IT 服务器的访问路径、监控、遏制、升级、客户通知、呼叫中心供应商选择、提供给供应商的摘要数据、支持持续时间和公开解释。

OracleCMS 控制着自己的系统以及其所持有的摘要信息的安全性。公共机构控制着身份支持建议、公开警告和监管处理。客户只能在收到通知后控制防御性行动:警惕诈骗、更改密码、使用支持服务、监控账户并在必要时更换证件。经销商和金融伙伴控制着自己的本地客户互动,但无法审计 Nissan 或 OracleCMS 受影响的系统。

这种分布很重要,因为在泄露之后,公司有时会通过“提高警惕”的语言无意中将工作转移给受影响人员。“警惕诈骗”是必要的但不完整。它应伴随公司控制的行动:删除不必要的数据、保护响应供应商的安全、简化证件更换、创建清晰的支持渠道,并告诉客户适用于他们的确切数据类别。

同样的原则也适用于内部。区域团队可能拥有日常系统,但全球治理应拥有数据清单和供应商响应的最低标准。如果区域客户记录包括金融、保险、经销商和员工数据,集团应知道哪些本地环境持有敏感身份字段,以及哪些供应商在响应过程中可能收到摘要。它还应知道本地团队能以多快的速度隔离系统,而不让客户无法获取服务或金融信息。

第二次暴露应改变事件剧本

大多数泄露剧本包括遏制、取证、法律审查、通知、客户支持和补救。Nissan 的记录提示了另一个明确步骤:响应数据风险评估。在组织将数据集交给呼叫中心、邮递公司、身份支持伙伴或法律供应商之前,应将该数据集分类为新的泄露影响记录。摘要可能比原始数据存储小,但可能更敏感,因为它说明了该人发生了什么。

响应数据风险评估应提出八个问题。传输哪些字段?供应商需要所有这些字段吗?字段在静止和传输中是否加密?哪些代理可以查看它们?访问是否被记录?供应商能否导出它们?它们何时删除?如果供应商被泄露会发生什么?Nissan 的 OracleCMS 经验表明这些问题并非理论上的。

该评估还应塑造脚本设计。呼叫中心工作人员不应需要背诵过多的敏感细节。如果客户询问受影响的内容,座席可将客户引导至安全通知或基于代码的支持路径。如果涉及身份证件信息,应培训座席解释针对特定证件的支持,而不要求客户在风险渠道上重复完整的证件号码。如果供应商仅持有摘要类别,它不应能够重建超出必要的信息。

公开记录并不证明 Nissan 在 OracleCMS 被泄露前缺乏这种纪律。记录确实证明,呼叫中心供应商持有的摘要信息被泄露并发布。这一结果足以使响应数据治理成为一个活生生的问责问题。

经销商和金融伙伴位于损害边界内

公开通知聚焦于 Nissan 澳大利亚、Nissan 新西兰以及相关的金融和保险业务,而非详细的逐家经销商运营失败。但这不应使经销商变得隐形。汽车零售是一个分布式信任系统。客户通常首先与经销商互动,然后与金融部门、保险公司、服务部门、呼叫中心和制造商通知互动。如果泄露影响金融或保险关系,该人可能不知道哪个实体持有记录或哪些一线员工可以回答问题。

经销商无法检查 Nissan 受影响的服务器。金融经纪人或服务顾问无法知道哪个数据类别被窃取,除非公司提供准确指导。然而,这些一线参与者可能比中央支持热线更早收到客户询问。如果公司没有为他们提供清晰的脚本、转介规则和诈骗警告语言,他们就成了一个证据不完整的非正式支持渠道。这增加了不一致回答的风险,并使骗子更容易利用混乱。

这也是为什么汽车网络的泄露响应应包括经销商和合作伙伴沟通计划。该计划应说明员工可以说什么,他们不得要求客户披露什么,如何将人员引导至官方支持,如何处理愤怒或苦恼的客户,以及如何报告疑似冒充企图。它还应解释金融、保险、销售或服务记录是否在范围内,因为客户可能向经销商询问金融记录,即使该经销商并未控制金融系统。

对于经销商网络而言,也有数据最小化的教训。如果制造商或金融部门持有通过经销商收集的记录,它应知道哪些源自经销商的记录仍留在中央系统中,哪些副本仍留在经销商处,以及每份副本保留多长时间。如果客户在经销商处更新联系方式,中央事件团队应知道通知地址是否是最新的。如果无法联系上前客户,公司应能够解释为何仍需要保留数据,以及哪些实际支持仍可用。

同样的逻辑也适用于车队和商业客户。车队联系人可能代表员工或司机,而他们的详细信息位于车辆、金融或服务记录中。如果商业客户收到泄露通知,它可能需要通知内部用户、更新采购记录、警告司机防范诈骗并与保险公司协调。Nissan 的公开通知并未提供单独的车队损害表,因此本文不能声称存在特定的车队影响。它可以确认治理责任:与车辆关联的数据通常属于比账户上名列第一的人更广泛的圈子。

供应商安全不能在信件发出后才匆忙添加

OracleCMS 事件表明,响应供应商需要与事件前技术供应商同等的严肃性。许多公司在签署重要软件合同前进行安全审查,但泄露响应可能产生紧急采购压力。领导者希望呼叫中心上线、信件寄出、身份支持服务连接、客户得到安抚。速度很重要。但如果速度绕过了安全审查,响应可能扩大数据暴露面,而此时客户正处于最脆弱状态。

更好的方法是在任何事件发生前预先审核响应供应商。组织应了解哪些呼叫中心、邮递、法律、取证、身份支持、翻译和通信供应商能够处理泄露数据;每个供应商需要哪些数据;数据可能在哪国处理;访问如何被认证;记录如何删除;以及供应商如何报告自身的安全事件。这不会消除所有风险。它使风险成为有意为之,而非临时拼凑。

合同应默认将泄露摘要数据视为敏感数据。它应限制后续传输、禁止不必要的本地下载、要求日志记录、要求在规定期限后立即删除,并给予公司审计和事件通知权利。如果供应商必须生成其自身的记录,这些记录应继承相同的分类。一个支持代码、案例笔记或通话结果可以揭示某人受到泄露影响,并可能暗示涉及的数据类型。这种上下文对犯罪分子有价值。

供应商问题对于通过区域子公司运营的全球公司尤为重要。区域团队可能选择一个具有本地知识和能力的本地供应商,而全球安全设定最低标准。公司应避免两种不良极端。一种极端是集中延迟,即本地响应在总部批准每个供应商细节之前无法行动。另一种极端是本地即兴发挥,即在全球安全了解暴露情况之前,敏感的泄露数据就被传给供应商。正确的设计是一个由集团标准治理的预先准备好的区域供应商名单。

公开证据并未确切显示 Nissan 如何选择 OracleCMS 或达成了哪些控制协议。重点不在于从存在第二次泄露推断疏忽。重点在于认识到结构性的教训。响应供应商并非处于泄露之外。一旦它接收了个性化的泄露支持信息,它就成为泄露系统的一部分,并成为问责记录的一部分。

指标应区分暴露、通知和支持

Nissan 的记录还表明,为什么单一标题指标是不充分的。“受影响人数”只是第一个指标。一份公开问责档案应至少区分四个数字:原始记录被窃取的人数、记录被发布的人数、通过 OracleCMS 后泄露支持摘要被暴露的人数,以及获得支持或身份证件协助的人数。这些数字可能重叠,但它们回答不同的问题。

暴露指标询问攻击者获得了什么。发布指标询问暗网上或通过其他方式披露了什么。通知指标询问联系到了谁以及何时。支持指标询问谁获得了实际帮助。如果公司无法区分这些数字,它可能知道泄露规模很大,但不知道响应是否与损害匹配。

针对个人的通知至关重要,但总体公开指标也很重要。客户、监管机构和合作伙伴需要知道事件主要涉及联系方式、身份证件、金融记录、员工数据、车辆关系信息还是泄露摘要记录。受影响人员需要他们自己的类别,而公众需要足够的总体状况来判断公司是否在改进正确的控制措施。如果金融数据居主导,围绕金融系统的访问和保留应是核心。如果支持摘要数据后来被发布,响应供应商处理应是核心。如果无法联系的前客户占很大比例,保留和联系信息卫生应是核心。

指标也有助于避免表演式补救。一家公司可以宣布安全提升,却不显示它是否降低了发生的具体暴露。有用的指标应显示特权访问减少、敏感字段最小化、旧记录删除、供应商访问审查、响应数据保留限制、客户支持等待时间、通知完成率以及泄露支持数据集的有文件记录的删除。公众不需要每个内部仪表盘,但需要足够的证据来看到补救是跟随实际损害,而非一份通用网络安全检查清单。

更好的证据该是什么样

一份更强的公开问责档案应区分以下几个类别。

首先,事件范围证据:涉及哪些区域法律实体和系统,哪些客户群体在范围内,未经授权的访问何时开始和结束,遏制何时完成。这可以在不泄露可利用技术细节的情况下高层表述。

其次,数据类别证据:身份字段、联系方式、金融信息、保险信息、车辆及服务关系数据、员工数据和利益相关者记录应当分开。每个受影响人员应收到与其相关的类别。

第三,响应供应商证据:公司应描述给了呼叫中心提供商什么数据、为何需要、何时传输、保留多久,以及在供应商泄露后发生了什么变化。

第四,支持证据:公司应披露可用的支持渠道、资格、持续时间、身份证件协助、诈骗警告指导以及无法联系的人如何确认自己是否受影响。

第五,补救证据:公司应识别控制改进的类别,如访问强化、日志记录、分段、数据最小化、供应商安全审查、响应数据处理和剧本更改。它无需发布对攻击者有用的细节,即可让利益相关者确信教训已被落实。

最后,治理证据:全球 Nissan 应能够显示区域事件如何改变集团实践。Nissan 全球投资者记录可能笼统地讨论治理,但此事件要求一个具体教训:关于区域金融和响应供应商数据。

持久的教训

Nissan 的澳大利亚和新西兰网络事件应被记入风险与问责记录,因为它展示了现代汽车企业如何持有超越车辆本身的数据。一个区域服务器可以持有金融和保险关系。一封泄露信可以成为一个支持数据集。一个呼叫中心可以成为第二个暴露点。客户可能被要求管理诈骗和身份风险,却没有只有公司持有的数据地图。

攻击者对入侵和发布负有责任。OracleCMS 对自己作为供应商所持数据的安全负有责任。Nissan 对自己控制范围内的数据环境、响应设计和面向客户的证据负有责任。公共机构和支持机构帮助了受影响人员,但他们不运营 Nissan 的系统。

对 Nissan 和类似公司的实际考验是清晰的。了解每个区域业务持有哪些客户和利益相关者数据。最小化敏感字段和旧记录。将金融和保险数据视为高后果身份数据。将泄露支持数据集作为敏感记录而非行政便利来设计。在危机前和危机中审查响应供应商。给予受影响人员基于类别的具体指导。发布足够的补救证据以表明,相同的路径和相同的支持数据暴露将更难重演。

汽车韧性现在包括客户数据治理。一家汽车公司可以恢复服务器,却可能让客户留下多年的身份焦虑。一条支持热线可以回答问题,却可能创建一个必须防御的新记录。因此,Nissan 的案例不仅仅是关于 2023 年 12 月的一次入侵。它关乎使出行、信贷和服务周围的数据变得像车辆品牌所承诺的道路体验一样具有韧性的义务。

排版

排版是安排字型以使书面语言清晰、可读且视觉上吸引人的艺术和技巧。它包括选择字体、字号、行长、行间距和字间距。

  • 排版起源于 15 世纪 Johannes Gutenberg 发明的活字印刷。
  • 关键元素包括字体选择、字偶间距调整、字符间距和行距。
  • 良好的排版能增强可读性,并在设计中传达情绪或基调。