Target这家折扣零售商在这场突如其来的数据泄露风波中数百万的客户受影响，销售大幅下滑，甚至股价的小数点都发生了变化。为此公司还花费了数亿的美金善后。如此惨痛的代价过后接下来是什么呢？CIO的离职。

    这次攻击导致四千万信贷、信用卡和七千万客户个人信息的泄露。这是否意味着Target的CIO Jacob 职业生涯结束，有几个关键点需要考虑：

    CIO是否做了替罪羊？

    有些人认为是Target的领导团队抛弃了Jacob，让她做了此次事件的替罪羊。Christian Science  Monitor的独立零售顾问Walter Loeb说：“Target很明显受到了此次事件的打击。人们开始质疑Target的安全。必须有个人出面负责。”

    但是资深的信息安全行业专家Ted Julian 作为事件响应技术供应商Co3的CMO表示，Jacob结束任期并不是一个惊喜。在这样的情况下，辞退一个CIO是一个标准的举措。公司需要借此展现他们对此事积极的态度。

    事件爆发前是否忽视了警告？

    《华尔街日报》的报告中曾经提及Target员工在事故发生前两个月曾经向公司管理层汇报由于POS系统漏洞零售商信息存在临着风险。Target忽视了这个警告并没有及时地做出应对，但事件中存在着信噪比的问题。

    当然存在一些企业忽视数据泄露的问题。如索尼，2011年解雇大部分的安全人员后，多次遭受了黑客攻击。但是Target并未表现出其对信息安全的轻视。Co3的Julian说：“据我们所知，Target的安全部门并不缺乏人手和资源。贯穿整个行业，Target的确拥有充足的资金与优秀的团队。”

    重建IT部是否对Target有利？

    Target如今正在招募新的临时CIO。同时聘请Promontory Financial咨询公司为企业信息安全、合规和风险管理提供技术支持、人力和业务流程建议。取代将信息安全责任分给几个人，Target首次设立首席信息安全官和首席合规官。

    Target技术空缺：购者自慎？

    考虑到CIO、CISO在Target中的任务，Gartner的Litan坦白地说：“这次事件给我们的教训就是，如果你在IT行业，不要涉足零售。虽然网络攻击无处不在，而且被袭击的行业也不仅仅只局限于零售。”

    是否会遏制POS恶意软件？

    撇开Target的技术与风险组织重构，黑客能够轻易通过POS系统漏洞展开攻击不仅仅是零售商信息安全的问题。Litan说：“期望零售商能够与复杂的恶意软件对抗是不公平的。即使是安全公司都可能漏过这些恶意的软件。问题的根本是在支付系统本身。别指望通过一个方案就可以解决这个问题，只有依靠支付卡产业自身进一步发展。”

    PCI标准是否应该负责？

    Target此次事件的一部责任在于支付卡产业数据安全标准（PCI DSS）。有证据表明Target的业务依附于PCI DSS。很少有人谈论PCI标准的问题。

    PCI标准在合同上掌握话语权，在公司业务遭受攻击时避免承担责任。这里对零售商来说非常不利，但是对银行和支付卡产业则非常有利。他们在此次事件中除了公共声誉以外，并没有遭受任何损失。

（徐志远）