DoSECU 安全分析 3月11日消息:一名企业高层管理人员离职时会带走什么?家庭照片,荣誉奖杯,还有数百名员工的密码。
如果你的其一中一名最富有经验的销售代表听说她即将被解雇的传闻,那么在她在下个季度开始收到解聘通知书之前,她会设法将A级客户的名单和他们的采购及付款记录下载到自己的Gmail帐户。
也许你总是以为这样的事情"绝对不会在我的公司发生"或者"绝不会在我的员工身上发生",实际上根据专家的调研类似的案例每天都在上演。面对巨大的经济压力和濒临失业的困境,甚至是最值得信赖和最富有经验的专业人士也可能铤而走险去窃取机密数据和其他计算机犯罪。
最近的统计数据就证明了这一点。2008年底由IT安全公司Cyber-Ark Software Inc.发起的市场调研结果显示,在纽约,伦敦和阿姆斯特丹等地有56%的金融业员工坦承他们担心失业的问题。为了做好最坏的准备,有超过一半的受访者表示他们已经下载了竞争对手的企业数据,以便成为他们谋求下一份工作的筹码。
在美国市场,这个比例还要略高,大约有58%的华尔街从业人员表示他们已经这么做了。有71%的受访者表示如果他们明天就面临被裁员的可能,那么他们肯定会带走这些数据。
苏克兰皇家银行综合业务部副总裁戴维.格里芬表示"当人们近乎绝望的寻求最后一根救命稻草时,他们就会去冒险做一些平常他们不会去做的事情,这也是在经济遭受滑坡时犯罪率攀升的原因。如果你拥有学士学位或者硕士学位,你可能不会去做傻事。根据需求的不同担忧的程度也会有所不同,对犯罪的成本也有不同认识"。
供与求
美国马里兰州哥伦比亚市的计算机安全咨询公司Jones Dykstra & Associates的合作人兼数字分析师基斯.约翰表示"很显然当需求降低,供应增长时,数据被盗就呈上升趋势,现在有大量的员工可以供应,如果一个人要想让自己博得潜在雇主的青睐,就得具备与众不同的优势"。
同时失业员工的人数还在继续增长。在过去几个月里,Citigroup, SAP, Sun,IBM,Sprint和微软都宣布各自的裁员计划,使得已经失业的员工总数又平添了几万人,他们中很多都是技术骨干和有权访问关键计算机系统,高敏感性企业数据的员工。
根据安全软件公司Symark International Inc.对对850位IT和人力资源总监安全调研报告结果显示,出人意料并且会给企业安全带来致命隐患的是到底有多少离职员工在他们被解聘之后,仍然长期保留着通过所谓孤儿帐户来进行访问的权利。10家企业中有4家都对用户帐户是否在员工离开时仍然处于激活状态毫不知情。
另外,报告中称有30%的高管都没有制定相应的流程来定位和屏蔽孤儿帐户。另外一项统计数据显示,有38%的高管无法决定目前或前任雇员是否正在使用或者使用过孤儿帐户来访问数据。
Forrester Research的分析师乔纳森.佩恩表示,最常见的风险是员工在离职后可能会带走知识产权,包括战略计划或者客户资料。
佩恩还强调说,更加危险的是某些员工离职时,他们手中可能掌握着企业中最关键的命门。
佩恩还举例称,UBS Paine Webber的一名前任IT员工罗杰.杜罗尼就因为安放软件逻辑炸弹而被指控,由于这个软件炸弹会四处访问,因此对企业数据产生了大面积的破坏,最终他被判处8年监禁(注:逻辑炸弹是在某种特定情况下会触发恶意函数的软件代码;举例来说,它可以被设定为在某个特定日期的特定时间删除所用的客户帐号)。
IDC咨询公司的分析师Sally Hudson表示,拥有优先帐户访问权的系统管理员和用户–诸如那些知道根密码的人,他们就会带来更大的风险。"那些有权使用优先密码的人也拥有更改系统数据,用户访问和配置的支配权。他们还有权轻易的破坏掉任何机构的关键性IT运营"。
尽管存在着这些问题,但仍然有一些步骤是企业可以用来限制潜在危害性的,特别是在执行裁员计划时。
做好功课。退出策略和安全措施应该根据员工的角色进行更改。高管和负责人事裁员的经理不应该自以为是的认为废止计算机访问只是拔掉插销这么简单的事。
约翰建议说"在裁员之前,要认真考虑员工的级别。如果他们是销售,人力资源,财务或者高层管理人员,你可能需要花费多一点时间来处理帐户问题,因为他们比普通员工拥有更大的系统访问权"。
美国弗吉尼亚州的信息安全专家和顾问Ken van Wyk表示,T部门要尽可能早的参与到裁员计划当中"IT部门和人力资源部紧密合作是非常重要的。但是IT员工必须了解他们的角色有多么敏感,对于散布谣言必须三缄其口。如果IT员工告诉其他员工他们即将被裁掉,那么这名IT员工也将被列入被裁撤的名单之中"。
IDC咨询公司的分析师Hudson建议说,企业在裁员之前应该确保已经制定了适当的安全计划和政策。你应该确保你在安全的状态下使用系统,防止数据丢失和管理风险,诸如防火墙,内容和间谍过滤工具和反病毒软件等系统都必须设置到位。
你还应该有安全验证和访问管理体系架构。就像IAM那样,这种类型的安全控制要包括企业内部人员,地点,时间,事由和用户活动。Hudson解释说,同时企业还要具备监控和评估的能力,了解如何使用访问权来满足政府规章和防止验证系统滥用。
根据员工的角色来区别系统访问权,这是企业在任何软件研发过程开始时应该遵循的安全系统设计原则。van Wyk解释说"访问控制意味着要在业务逻辑层上放置更多的内容"。
但是van Wyk强调说,企业经常会遗忘这个步骤,因为这个过程需要更多的时间和花费软件设计的更多心力。在最初的安全设计中如果缺乏这样的环节,下一步最好的措施就是要使用各种商业应用来软件记录用户对系统的访问痕迹和和行为追踪。
van Wyk表示"几乎所有的商业应用软件都设置了用户ID和密码安全的各级权限"。但是对于追踪系统,当用户进入数据库时,所记录的每件事都会存在法律诉讼的可能性。
约翰推荐说即使裁员进展顺利,没有引起员工的不满,那么企业仍然应该收集应有的证据以备未来可能发生的诉讼所需。这是因为经历过安全缺口的企业,包括那些由于被裁员工导致的数据被盗案例都显示出他们必须采取所有可能的预防措施来保护他们的数据。
