2500万英国人敏感信息丢失
今日,各大媒体争相报道英国数据光盘丢失事件,该事件是历史上罕见的数据泄漏事件。目前为止,税务和海关总署署长保罗.格雷已辞职,首相布朗的信任度也受到极大的伤害…参看新华网的报道。
又据Gartner的估计,在银行方面的直接经济损失(关闭帐号、另开帐号、更换信用卡等) 就可能高达5亿美元(500M$)。Gartner的专家Avivah Litan估计每个帐号20美元应该属于保守的估计…
以下是新浪的报道.http://www.sina.com.cn 2007年11月23日09:58 央视《今日关注》
《今日关注》2007年11月22日播出:2500万英国人敏感信息丢失!,以下为节目内容。
2张光盘,2500万人的敏感信息在邮寄途中神秘丢失,英国人遭遇史上最严重的信息安全危机,政府高官引咎辞职,首相布朗也遭质疑。信息安全为何如此脆弱?冲击波是否会继续扩大?稍候请看《今日关注》。
主持人(王世林):
大家好,欢迎收看正在直播的《今日关注》。
今天我们来关注英国的光盘丢失事件。这两天英国上下都在为光盘的丢失感到非常不安,因为这2张光盘记录着涉及到750个家庭的2500万人的个人信息。
在盘丢失以后,涉及到的这些家庭和个人会受到什么样的影响?对于上任不到半年的英国首相布朗来说又意味着什么?会不会引发更大的震荡?
就这些话题,今天我们演播室请两位专家为我们做进一步的分析,我来介绍一下。一位是中国现代国际关系研究院欧洲所所长冯仲平先生,您好,冯所长。
冯仲平(中国现代国际关系研究院欧洲研究所所长):
你好。
主持人:
还有一位是中国国际问题研究所欧盟部副研究员刘建生先生,您好。
刘建生(中国国际问题研究所欧盟部副研究员):
你好。
主持人:
欢迎两位到演播室来参与我们的节目。
在今天节目一开始,我们先来了解一段相关的新闻背景,看一下大屏幕。
(播放短片)
解说:
20号,英国财政大臣阿利斯泰尔·达林在英国国会下院发表讲话时证实,英国税务海关总署日前在邮寄过程中丢失了2张存有2500万英国人银行信息以及个人信息的光盘。
阿利斯泰尔·达林(英国财政大臣):
光盘数据包括(儿童福利)申请人,以及他们的孩子的姓名、地址、出生日期,还有孩子的福利号、保险号,以及相关的银行账户信息。
解说:
消息一出,立即引起英国上下一片震动,英国税务和海关总署的负责人保罗·格雷已因此辞职。
此次丢失的2张光盘中存有750万个申请儿童福利的家庭信息,涉及人口达2500万人,将近英国人口的一半。光盘内信息包含受益人及其子女的个人信息,
社会保险号码,以及相关银行或抵押银行账户信息。
光盘是英国税务和海关总署向
审计部门邮寄的过程中丢失的,原因是办事员违规操作,没有按规定将包裹挂号注册就随意寄出邮件。英国政府直到三个月后才发现光盘丢失。
目前英国警方已经开始对此事展开调查。英国保守党内政事务发言人奥斯本对政府能力提出质疑。英国情报专员里查德·托马斯也表示,这并不是英国税务海关总署的第一起安全事故,另外两起安全事件也正在调查之中。
主持人:
好,今天在节目一开始我们谈到这2天英国上上下下都在为这2张光盘的丢失深感不安。那么这2张光盘丢失以后到底会产生什么样的影响?先请两位分析一下。
冯仲平:
我能想像到这事儿对英国人的生活有多大的影响。我在英国学习过3、4年,我80年代到英国以后,当时我们国家银行、金融这方面还是比较落后的,到英国后发现有几件事情印象特别深刻。
一个就是人家的银行,这是英国人生活中离不开的。我还有一个很大的印象就是他们的邮局,Post Office,英国人特别爱写信,当然现在有Email、电话,英国人写信非常频繁。
这两个机构给我的印象特别深刻。我刚去英国
留学的时候,现金、学费都在口袋里装着。我去了以后,去接我的英国人都吓坏了,他说他从来没有见过这么多的现金,要立刻去开车去英国比较大的一个银行,赶快把钱放在那儿,我们到他家里可能放了一会儿,他家里自己有一个保险柜,放进去,然后立刻吃点饭就放到银行去了。
所以我想这个事儿发生以后(对英国人产生的影响),近一半的英国人都受到影响了,影响面太大了。
主持人:
英国人是非常信任银行的,也愿意把自己所有的信息跟银行透露。
冯仲平:
英国的小孩几乎从小生下来,我们都想像不到,每人都会到银行去开一个自己的账户。
主持人:
生下来就开账户。
冯仲平:
不,长大以后。
主持人:
长大以后。
冯仲平:
可见这个对他们的生活是多么重要。
主持人:
如果这些信息,咱们就探讨这个影响,如果这些信息真的现在是被某些不法分子获得了,会产生什么样的影响?
刘建生:
后果就像英国议会表述的,极其严重。
首先,英国的海关税收总署是一个国家重要的监管部门,它不仅是管,是监管,另外还负责整个税收制度,包括税务管理体系的设计和管理。它掌握的 2500多名英国16岁以下儿童接受福利救济的这一批资料涉及到2500万人,而且包括他们家庭的详细情况、地址、姓名这些东西。
当然我现在还不太知道最后的结果,因为据警方说这个光盘是加密的,警方也怀疑现在是不是已经落到不法分子手里。如果一旦落入非法分子手里,这些窃取的大量的、非常珍贵的、重要的个人隐私资料,对于诈骗分子在第三方付款的时候偷转个人的私人账户,包括国民保险的账户,这已经是提供了几乎90%的有效信息。恐怕最后一个就是密码的破解了。
所以这个代价就是海关总署署长干了9个月辞职,达林财相向国民道歉,而且政府的公信力受到严重的损害。这个东西影响还不在于今后包括这批换卡、补卡的经济损失,这是可以弥补的,但是这批信息始终处于一种极其不安全的状态,这个以后给人心理上制造一种以后是不是个人的财产随时会受到侵犯。这个影响是极其深刻的,直接涉及到国民的个人利益。
主持人:
对,所以说英国上下都感到不安。但是人们也在思考这样一个问题,您刚才讲到说英国人非常信任邮局,这个光盘也是通过邮局来邮寄的。
冯仲平:
对。
主持人:
可惜的是没有按规范操作,没有进行挂号、注册。
冯仲平:
挂号、注册,这么重要的东西……
主持人:
税收和海关署到底出了什么问题?为什么在管理上会有这样一个疏漏?
冯仲平:
这就是为什么这次税务海关总署的署长辞职掉了,他觉得这个错误犯得太大了。
今天英国有一个报道标题就是怎么讲的呢?它说一个公务员小小的违规后果极其严重,这大概在英国的整个政府系统可能要做一次很好的检讨,因为影响太大了。
刘建生:
确实。因为这是一次重大的属于信息管理泄密事件,还不是涉及到一个信息系统网络的,那个要是被摧毁或者侵入恐怕是一场大的灾难。
我个人比较奇怪的是英国税务海关总署的操作,居然有一个办事员把这么重要的信息下载到光盘,通过邮局,也不用挂号就邮寄。一般来说应该在有监护的情况下邮寄。
英国的皇家海关税收总署过去是在布朗任财相时在他的的直接领导下,这个不能说不是一个重大的安全漏洞暴露,令世人惊愕,对各国政府的监管恐怕也是一个很好的警示。
冯仲平:
他讲这个使我想起什么?这个过去是几个机构,2005年才合并起来,看来这里面有问题。
主持人:
可能是在运作方面有一些问题。
冯仲平:
对,过去税收、海关是两个独立的部门,2005年合并起来了,2005年是布朗当选财政大臣。
主持人:
对。
冯仲平:
所以这个事儿可能对他的影响比较大。
主持人:
前面建生也谈到了涉及到一个信息安全的问题,现在英国民众感到不安很重要的一个问题就是担心信息丢失以后会对自己的账户安全产生影响。到底会产生什么影响?我们来看一下相关的背景。
(播放短片)
解说:
英国财政大臣达林21号说,“目前英国银行系统正在监控所有涉案账户,一旦发现任何异常,将采取适当的行动。”英国银行家协会提醒账户所有者对自己的账户变化保持警惕,同时也给他们吃下了一颗定心丸。
理查德·库克(英国银行家协会):
如果你有任何疑虑请跟银行联系,我可以向你们保证,如果你成为信用诈骗的无辜受害者,银行将弥补你的损失。
解说:
但是不少民众还是对事态的发展表示担心。
英国民众:
这种事不应该发生,你不知道谁会拿到这些光盘。
解说:
美国FTI咨询公司的数据安全专家分析说,泄漏的光盘虽然经过了加密,但从技术上来说破解密码并不需要很长时间,一旦落在图谋不轨的人,甚至是恐怖分子的手上,他们就有可能利用这些信息进行信用诈骗和信用盗窃。更重要的是,这起事件必须引起政府和民众对各领域公共信息安全的重视,因为目前各国政府机构和公司都大量使用网络进行信息管理,一旦出现有意或无意的信息泄密,后果将比光盘遗失事件还要严重得多。
主持人:
前面美国的专家说破译密码好像也不是很难,一段时间以后就可以破译出来。
冯仲平:
他指的是光盘的密码。
主持人:
对,光盘的密码。因为这里面可能还有另外一个的密码,比如他要掌握你的个人信息之后,你的银行帐号上面的密码,估计破译起来也不是很困难,所以说英国的民众非常担心。
通过这件事儿的你觉得,对于很多国家来说,因为现在是信息时代,网络、系统都非常发达,是不是也有什么样的警示作用在里面呢?
冯仲平:
你刚才说得对,现在我们真的是成了一个信息社会了,信息社会意味着什么?意味着人们对信息的依赖……
主持人:
依赖度很高。
冯仲平:
增加了,依赖增加以后,安全问题就突出了。
刚才我同意建生讲的,这次事件不完全是我们平时讲的所谓网络信息安全,这次是信息没管理好,泄密的事情,这个实际上也可以看出一个问题,就是我们这个社会脆弱性的一面,就是信息的管理、网络的安全。
主持人:
他可能是担心通过网络传输这些信息可能会不安全,所以就通过邮寄的方式,反倒丢失了。
刘建生:
也许是这样。刚才我们也听到了,可能英国海关税收总署还有其他没有披露的事情,目前正在调查当中。
主持人:
对。
刘建生:
而且西方大国近几年来在安全泄密方面重大的事故也确实不少。
比如说8月份,英国警方的一台存有上千名被监控恐怖分子的信息居然丢失了。
主持人:
电脑丢失了。
刘建生:
电脑丢失。你想一想,这个东西对整个恐怖嫌疑犯的分布、对他们的监控措施,这一套东西,当然了,警方也是在说这套东西是不是落在恐怖分子手里,对目前非常注重打击国际恐怖主义,特别是伦敦爆炸案之后,这样的损失甚至比这次涉及到的总署的私人账户的密码损失更大。我们可以看到在安全方面确实存在很多的漏洞。
主持人:
正因为这件事情的发生,相关的高级官员已经辞职了,而且现在民众对于布朗好像也有一些质疑,而且布朗也在会议上道了歉,我们来看一下背景。
(播放短片)
布朗(英国首相):
我在此深表遗憾并诚挚道歉,它给数百万享受儿童福利的家庭带来了不便和困扰。
解说:
布朗同时承诺,英国政府所有的部门和机构都将从中吸取教训,以避免类似的错误再次发生。尽管布朗高调道歉,但是反对党穷追猛打。保守党领袖卡梅伦说,因为布朗在出任首相前曾任财政大臣长达10年,因此财政部门所暴露出的问题正是布朗领导不力的表现。
主持人:
据说布朗一家的信息也这2张光盘里面。
冯仲平:
因为他有小孩。
主持人:
也有小孩,所以在这2张光盘里面。但是民众现在对布朗的质疑还是很强的,而且对于现在陷入困境的布朗来说,是不是有点“雪上加霜”的感觉?
冯仲平:
说布朗陷入困境可能过了点,但是他确实最近……
主持人:
麻烦事挺多的。
冯仲平:
也是焦头烂额。
主持人:
对,您说到的麻烦事儿的确是。最近有一个调查,这个是《星期日泰晤士报》的一个调查,是委托一家民意调查公司做的。这个调查是最近刚做的,调查显示33%的人认为布朗在首相之职上干得不错,43%的人认为他干得不好。正负相比以后,布朗的净支持率是负10了,而在下季的时候,布朗支持率最高的时候是正48,布朗的支持率为什么降到如此之低呢?所以我刚才讲,他前面还有一些麻烦事儿,我们再来看一下。
(播放短片)
解说:
英国一项最新民调结果显示,首相布朗的民众支持率已降至其任职以来的最低点。而此次丑闻的爆出对布朗政府而言无异于“雪上加霜”。当地观察家认为,在这么短的时间里布朗的支持率狂跌,其原因有三。
布朗上任最初几个月,民众支持率曾一度走高,引发了媒体对他将趁势宣布提前举行大选的猜测。布朗却一方面在此问题上三缄其口。但正当箭在弦上时,他却又宣布不提前举行大选,布朗此举遭到媒体和各反对党的强烈抨击,称其“愚弄民众”、“只顾一党私利”、“怯懦”,其信誉和口碑在民众中第一次大打折扣。
布朗日前在公布其外交政策蓝图中,一改过去对美疏远的态度,强调美国是英国最重要的盟友,并宣称自己终身崇拜美国。这让不少希望英国保持更为均衡外交政策的国民感到失望。
布朗政府在经济上的表现也影响了民众对其的信心。工党在布莱尔时期保持较好的经济竞争力,但近一段时间,英国经济不断出现负面消息:房屋价格下跌、物价上涨、银行信贷危机、股市波动、经济发展速度放缓等。另外,布朗政府解决诺森罗克银行挤兑风波的举措也受到各方的质疑。布朗政府曾出面为该银行担保,但此举却被认为政府将纳税人的上百亿英镑置于风险之中。
主持人:
看来布朗的麻烦事儿的确不少,咱们一个一个来说,先说关于大选的问题。
为什么箭在弦上的时候,大家感觉他好像很快就要宣布提前举行大选了,但是突然他又说不提前进行大选了。为什么有这样的变化?
冯仲平:
布朗在英国历史上是不多的几个首相,他不是属于选举选出来的。
主持人:
对。
冯仲平:
所以这个事儿对他来说是一个很大的事儿,他不是一个合法的。
主持人:
通过选举以后名正言顺。
冯仲平:
对。从那天布莱尔把首相的职位给了他,他就琢磨着要大选这件事儿,所以人们一直认为他是要找一个很好的机会。
一开始他刚上台的时候,他确实有点和布莱尔的风格不一样,给人一个新的气象、一个感觉。那个时候我认为他是一个“蜜月期”,那个时候大家都觉得这个时候选举最好,他这个时候有权决定什么时候大选,他可以提前大选,你如果要坚持,可以坚持到2009年,但他完全可以找一个最好的机会选举。
在他支持率最高的时候,大家都认为好,他自己可能也流露过这个东西,最后实际上,大家对他的负面印象是什么?他不搞提前大选以后,让人感觉他优柔寡断,他又想,又不敢,为什么不敢呢?他现在至少还能当一阵子,如果选举选下来的话,就把布莱尔给他的首相也没干成。
这次事件是第一次让人们对他的领导能力、品质产生了怀疑,这个事情对他的影响是比较大的。
主持人:
您讲到他的优柔寡断,在最关键的时刻没有抓住机会,可能就是因为犹豫。
另外在对美国的问题上,他好像也有这方面的一些迹象。他曾经说过我终身崇拜美国,但是他现在在对美政策上,他也宣布从伊拉克撤军等等,这都是美国不愿意看到的。您觉得这是不是也很矛盾?
刘建生:
布朗上台以后,今年布朗接任工党领袖出任首相是在布莱尔提前下台的背景下。为什么提前下台,因为工党确实面临诸多问题,由于对伊战争之后的负面影响,特别是工党内部金钱换爵位案等等,在民众心目中的威信大降。
所以布朗上台之后的首要任务是什么呢?他面临着一年半的时间,他带领工党最首要的任务就是备战2009年5月份的大选,他要抓住最好的时机。
保守党的政治新星卡梅伦一直虎视眈眈,特别是布莱尔执政10多年来第三条道路基本上失效,英国的经济也出现了势头已过的背景下,布朗上台以后雄心勃勃,要重整工党的威望。
他上来以后,确实他无论是对内、对外,在政策改革上的大调整有不少可圈可点的地方。比如说首先是内阁组织上,他的党内提供了很年轻的外长,甚至是党内不同派系的人物。另外在宪政改革上,今年我们知道两件大的事情,因为宪政改革在英国历史上也是一个难题,经过很多年的改革,今年首先是取消了延续 600多年的英国上院议员的世袭制度。另外,过去是由皇室委托首相来宣示对外的宣战权利,他也收回,进一步提高议会等等,这是在国内,经济上也同样。
所以刚才讲的大选是不是要提前的问题,他应该是抓到一个最好的时机,如果时机成熟,各方面都有利的情况下,不宜多拖。因为我们知道当前欧洲的政治形势总体的情况,其他的国家,德国也好、法国也好,都面临着在全球化背景下严重的社会经济问题。
所以布朗正好在风头之上,突然这么一件事情发生,反对党——工党抓住不放。为什么8月份重大的泄密事件没有引起这样的轩然大波呢?所以我们看到后边政党之间备战2009年大选的背景因素非常大。
主持人:
所以说这件事情的出现对布朗来说非常不利。
冯仲平:
我补充一点。布朗在外交政策上,刚才说他终身崇拜美国,这是他担任首相以后第一次全面阐述他个人对外交的一些主张、看法。很长时间,人们不知道布朗这个人的外交政策是什么。
他上台开始,人们认为他肯定会和布莱尔拉开距离,为什么?布莱尔由于过于亲美。所以他实质上宣布从伊拉克撤军,当然美国也在撤,他有点想和布什政府拉开距离。但同时我们也一定要记住,不论是布莱尔还是布朗,任何一个英国政府都要保持和美国特殊的关系,这是它的外交基石。过去布朗刚上台的时候,大家看到他要和布莱尔拉开的距离,和布什政府拉开的距离,但是这一点大家一致讲,它不能够把英美的特殊关系轻易地改变掉。
但是最近他又讲终身崇拜美国的亲美的调子,这里面还有一个背景。什么背景呢?他最近发现他的压力特别大,压力大不是来自国内的选民,来自法国、来自德国。11月份萨科齐访美、默克尔访美,亲美的调子唱得都很高,布朗不甘心把英国作为最亲美的一个欧洲国家在他手里丢掉,所以他大讲特讲这个。但是我觉得有两点要把握住,英国的布朗也好,还是过去的布莱尔也好,对美政策,英美特殊关系不会改。
第二点,为了应付国内选民的需要,他还得在某种程度上和布什政府拉开距离。
主持人:
您讲到了从布朗来看,他在对美国的问题上受到了德国、法国的影响。
冯仲平:
对。
主持人:
在这个问题出现以后,人们也注意到信息丢失是一个事儿,但是由此人们也注意到现在英国的经济所面临的一些问题。
在经济好的时候,实际上是布朗当财政的时候,那时候人们把功劳记在布莱尔身上,但是很多人都知道这是布朗在其中起了很重要的作用。但是现在布朗做首相了,经济反倒不好了。建生你分析一下,现在就法国和德国来说,经济方面也有一些问题,会不会影响到英国?布朗接下来在经济方面的难题是不是也很大?
刘建生:
确实,英国在欧盟国家中自布莱尔执政以来推行他所谓的第三条道路,英国经济在欧盟整体当中独树一帜,保持了比较长期的发展。
刚才我不太清楚,现在我从最近看到的数据,当然是动态性的,还没有最终出来。2007年欧盟整体经济的增长率是2.9%,而今年英国的经济增长就是2.9%,而经济强大德国只有1.7%,明年据说要退后到1.4%,而法国不到1.9%,都没有过2%。所以说单从经济增长速度来看,英国经济在欧盟国家当中还是比较好的。
但是现在的问题是现在它面临的,这是一个比较普遍的问题,欧洲面临着一个普遍的政治、经济危机,特别是布莱尔推行的一套第三条道路的经济模式目前有点失效,在经济全球化的发展之下,他所谓的几个法宝:税收制度、最低工资制度,包括灵活的市场用工制度,这套东西到目前来说已经开始失灵,因为无论是法国也好,德国也好,都面临着要加大改革,同时又面临比较大的阻力。
英国撒切尔执政时期把英国工会的势力打下去了,所以之后,英国在布莱尔一系列的改革进程当中,在欧盟国家当中,它是发展得比较好的,不同于德国和法国,包括目前面前的重大的阻力。
所以从经济来看,可能是英国人对布莱尔政府的期待更高,但不能说英国的经济今年不好于其他的发展中国家。
主持人:
好。实际上通过两位专家的分析,我们觉得布朗接下来的改革政策会不会调整,这一事件到底对他会有什么样的影响,可能还需要观察一段时间。
冯仲平:
对。
主持人:
好,今天非常感谢两位到演播室来结合英国的光盘事件来做一些分析,非常感谢两位,谢谢。
好,观众朋友,今天的《今日关注》也到这里结束,感谢您的收看,再见。
制片人:张立勇
策 划:马 敬
编 辑:杨修雯
主持人:王世林
监 制:马 勇
E-mail:jinriguanzhu@vip.sina.com
The below is the comment of Bruce Schneier at his blog:
http://www.schneier.com/blog/archives/2007/11/uks_privacy_che_1.html
UK’s Privacy Chernobyl
I didn’t write about this story at first because we’ve seen it so many times before: a disk with lots of personal information is lost. Encryption is the simple and obvious solution, and that’s the end of it.
But the UK’s loss of 25 million child benefit records — including dates of birth, addresses, bank account information, and national insurance numbers — is turning into a privacy disaster, threatening to derail plans for a national ID card.
Why is it such a big deal? Certainly the scope: 40% of the British population. Also the data: bank account details; plus information about children. There’s already a larger debate on the issue of a database on kids that this feeds into. And it’s a demonstration of government incompetence (think Hurricane Katrina).
In any case, this issue isn’t going away anytime soon. Prime Minister Gordon Brown has apologized. The head of the Revenue and Customs office has resigned. More is certainly coming.
And this is an easy security problem to solve! Disk and file encryption software is cheap, easy to use, and effective.
It’s incredible for UK government to make such a stupid mistake. Is it a corner of ice-mountain worldwide? ie. there might be a numbers of similar data leakage at other countries, but not uncovered yet. See the reports of NetworkAsia.
——————————————-
UK data breach could cost banks $500M, says Gartner
Nov 27, 2007
By Jaikumar Vijayan, Computerworld (US online)
Network World Asia
Banks in the U.K. could end up spending upwards of US$500 million to deal with the aftermath from the recent loss of computer disks containing bank account and other personal data belonging to about 25 million people, according to analyst firm Gartner Inc.
The amount is the total that banks might have to spend to close and reopen millions of bank accounts and reissue debit cards to affected customers, Gartner analyst Avivah Litan said in an alert released last week.
The figure is based on a conservative estimate of $20 per account, which is how much it would cost a U.S. bank to close down and reopen a bank account following a data breach, Litan said.
The U.K.’s HM Revenue & Customs tax agency last week disclosed that it had lost computer disks containing large amounts of confidential information, including names, addresses, dates of birth and bank account information belonging to nearly a quarter of the country’s population.
The huge media attention the breach has received makes its much more likely than normal that the stolen data could actually get misused, Litan said. As a result, U.K banks are also much more likely to take emergency measures to mitigate that risk.
Heightening the concern is the fact that fraud resulting from compromised bank account information is often harder to detect than payment card fraud, Litan said. Typically, bank account compromises can result in account hijacking or so-called automated clearinghouse fraud, where a data thief uses compromised bank account and routing numbers to initiate payments from a customer’s account to his own, she said.
Detecting such transactions can be hard, especially given the scale of the recently disclosed breach, Litan said. At the best of times, “probably the system with the weakest protections against fraud is the account transfer system” between banks, she added.