Ohio大学首席信息官Bill Sams表示他已经在周五着手进行重整。
Ohio大学最近发现校园至少有三台服务器被信息窃贼入侵。
其中一台服务器包含有13.7万笔含有社会保险证号的个人信息,且遭海内外黑客入侵至少已经一年之久,Sam受访时如此表示。
安全专家对此事感到不可思异。Gartner安全分析师Aviviah Litan表示,“太令人难以置信了,怎么会一年后才被发现,不太合理。”
过去一年来,媒体已经多次报道包括Norte Dame、普渡(Purdue)与乔治城大学(Georgetown)都曾发生类似的安全入侵事件,Litan认为,大学应该对此有市场敏感度才是。
Ohio大学是被FBI告知有人利用校方服务器作为DoS(阻断服务)攻击时,才发现学校网络已被入侵。
Litan估价,有三分之一的信息外泄都是来自大学;学校成了黑客下手目标主要有三:第一,校方信息包含了社会保险证号,方便作为伪造身份用;第二,校方的安全措施普遍比较松散。
“校方通常不想在这方面花太多钱。”Litan表示。
第三,校方比较吃亏的地方在于他们必须保持信息的自由流通,这是出于知识分享之所需,虽然互联网以精简化了许多这方面的负担,但这方还是有潜在风险。
Ohio大学被发现有人入侵时,学校掌握了90台服务器,这是校方的主要电脑网络,但还有其他许多服务器则是由个别科系所设立的。
“若是企业,他可要求通通锁起起来就行,”Sams表示,“我们没有这种权利,学术界必须在最大的弹性与信息安全两端取得平衡。”
截至目前所知,校方会被入侵是因为有一台主管毕业生信息的服务器原本应该是要下线的,但负责人没检查好,所以这台服务器还是持续连至互联网,且没有作定期安全更新,这使得黑客有机可乘。
另外两台被入侵的服务器则被偷走了曾至学校保健室就医者的病历信息,以及另外6万人的社会保险证号。
“我们在政策上跟流程上都没有做好,”Sams表示,“我们的确应该更警觉些,只是我们疏忽了。”