塔吉特

如果在起飞时控制不好发动机的动力，就很可能会造成惨烈的坠机。当我们迈向了互联网+的风口，同样也要面对一个不可回避的问题：安全事故。

丢钱又丢人：塔吉特（Target）安全事件损失惨重

2013年年底，美国零售巨头塔吉特(Target)宣布公司被黑客入侵，7000万的用户个人信息和4000万的信用卡数据被盗，涉及用户名、电话号码、电子邮箱和信息卡信息等隐私数据。据估计塔吉特的损失当前已达1.48亿美元，并最终可能达到10亿美元。

美国折扣零售巨头塔吉特（Target）的客户数据泄漏事件始终是一个血淋淋的例子： 

1.1亿顾客的数据失窃事件爆发之后，12%的老顾客不再去塔吉特消费，而36%的零售商减少了购货频率。而那些继续在塔吉特购物的人中有79%不再使用信用卡消费了，取而代之的是使用现金。

同时塔吉特还将向个人受害者支付最高10000美元的的损害赔偿，并将增加数据安全保护措施。对公司内部而言，因此安全事件，塔吉特辞退了时任CEO并重新任命一位首席信息安全官。

过PCI认证真的有用吗？

FreeBuf百科：PCI 

支付卡行业数据安全标准（ PCI DSS）是一套协作的安全要求,以保护信用卡交易和持卡人数据的所有品牌。PCI遵守是强制性的任何业务,存储,处理或者传输的数据。PCI安全标准委员会是一个开放的全球论坛的不断发展、增强、储存、传播和执行安全标准的帐户数据的保护。
‍
任何参与到支付卡交易中的组织都必须遵守PCI DSS。

此次塔吉特入侵的原因有两个：一是塔吉特（或者是他们的供应商）缺乏IT安全管理，二是他们的员工没有参加过有效的安全意识培训——因此塔吉特的案例中，才会出现供应商的一个员工点击钓鱼链接从而导致惨剧的发生。

时隔两年，现在我们再一起回顾下当年的那一幕：

“2013年11月，尽管塔吉特公司遵守了PCI标准，但我们的数据还是不幸被泄露了。”

然而，简单地遵守并不能保证你的网络信息安全。遵守规则应当是你的建立自己安全网络的底线。

做一个类比——你通过了PCI的检测、评估和审计，所以你是安全的。同样的你拥有驾照，那你就能保证不会发生车祸吗？

在这两种情况中，如果你不能很好的接受对应的培训，你的安全都是无法得到保障的！

没错——尽管保障顾客支付卡信息的所有技术控制都已基本到位，你还是非常需要对员工进行PCI数据安全标准的培训。

当务之急：培训员工提升安全意识

教育是获得提升的一个重要步骤，不管哪位业内人士基本都能进行网络安全意识的培训。你应当立刻制定出一个有效的培训计划，并以此为武器对抗公司在每一天面临的威胁。

如FreeBuf之前的报道《企业安全策略越大越好？Facebook CEO扎克伯格给了几点建议》，Facebook、IBM等公司经常进行在公司内部组织“钓鱼”——意在培养员工更真切的了解钓鱼机制和安全意识。与此同时，FreeBuf还认为垃圾邮件、恶意邮件及社会工程学等一系列未来都应能够运用于日常的安全培训工作中。

*参考来源：THN，有删节，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）