随着的发展,信息系统越来越多的使用于日常工作,成为不可或缺的工具和手段。通过企业信息化大大提高了企业生产效率,企业正在利用信息化技术来打破地域之间的阻碍,同时还会产生大量如客户资料、营销、财务报表、研发数据等关乎企业核心竞争力的机密资料。然而,信息技术本身的双刃剑特性也在广泛应用中不断显现:强大的开放性和互通性催生了商业泄密、网络间谍等众多灰色名词。随之而来的企业问题,越来越被公司的领导重视,各大公司、等也纷纷加大了对信息安全体系的建设。然而,例如“华裔工程师大闹Gucci”、震惊全国的“力拓案”等泄密事件层出不穷,让人不禁深深地思索:当我们越发重视信息安全建设,加大信息防护投入的同时,为何泄密事件一个接一个的出现?
被漠视的“灯下黑”—来自内部的信息泄露
难道信息泄密真的是防不胜防吗?又或者是我们在信息安全体系建设上出现了没有被注意到的“盲点”?让我们来看看下面两个案例:
案例一:一名被美国Gucci解僱的华裔网络工程师,因为对公司做法感到不忿,以及想要炫耀自己的才能,多番Gucci的电脑系统,干扰网络的运作,关闭及删除内存资料,使得Gucci的电脑系统瘫痪,网上购物平台也不能运作,他目前被控50项入侵电脑、身分盗窃、制造虚假商业记录等罪名,一经定罪最高可面对15年监禁。
被告男子甄志隆现年34岁,原藉台湾,现为美国公民,报称居于新泽西州泽西市。他原是美国Gucci的网络工程师,2010年因为违反公司规定被开除,离职后他多次入侵公司的电脑,最后事发被捕.
在甄志隆在一次入侵Gucci网络的行动中,Gucci电脑网络的文件及电邮功能瘫痪将近24小时,大部分文件及电邮亦被删除,Gucci对此进行修复及补救,花费愈20万元。另一次入侵时,甄志隆在网络内逗留了两个多小时,这次他删除多个服务器,关闭一个内存网络,以及把公司的电子邮箱全删掉,结果Gucci的员工无法登入网络,而且不仅是企业的员工,更影响至全国所有商店的经理以及电子商贸部门,对销售造成严重的损失,Gucci的电脑部员工经过紧急抢修,也要到当天晚上才能修复。
据检方资料,甄志隆受聘于Gucci期间以其担任网络工程师之职权,利用虚假的员工资料设立了一个帐号,方便自己登入公司的网络。被Gucci解僱后,多番使用这个虚假帐户,他利用自己对Gucci网络的熟悉,畅通无阻地入侵Gucci的网络,随心所欲的作出不同的指令。
案例二:2004年5月,某大型企业研发中心发现某国外竞争对手领先一步完成了产品的设计开发,该研发中心领导一下就懵了。产品的设计开发可是该企业的重大研发项目,该企业想依托A产品完成产品线的转换,大笔资金投入到该项目,众多研发人员也付出了艰辛的劳动。企业在项目立项及开发过程中,还从未听说有哪家单位也在进行A产品的开发,为什么竞争对手开发速度如此之快?
情况汇报给企业老总后,老总的第一反应就是内部人员泄密,随即下令该项目所有人员停止开发,迅速离开工作岗位,并向公安部门报案。公安部门技术人员到达现场后,发现该研发中心保密工作存在重大疏漏:设计人员电脑与普通工作人员电脑连在同一个内、计算机端口允许人员将资料随意拷出、设计人员将某些机密文件设成共享、打印资料随意带出、所有电脑都可以上……经过检查,公安部门初步判定为内部人员泄密,但是要查出是谁将资料泄密,难度太大。最终该案不了了之,企业也只能对研发中心领导进行降职处罚,该企业付出的1000余万元研发费用、众多研发人员的辛勤劳动全部付诸东流。
在案例一中,GUCCI公司作为世界知名的大型企业,因为一名被解雇的网络工程师,导致一片混乱。作为一家知名的创意性公司,GUCCI公司必然会非常注意对自己公司内部商业信息的保护,必然采用了众多的手段,防护外部入侵。然而,甄志隆这名普通的网络工程师,仅仅通过职务之便,利用虚假的员工资料设立了一个帐号,便做到了畅通无阻地入侵Gucci的网络。虽然,这次的泄露事件并没有带给GUCCI公司多么巨大的损失。但是,假如我们进行一次假设,当甄志隆在成功进入GUCCI公司网络后,并不是将公司文件删除,而是转移或者拷贝复制,最后通过其他途径将这些信息外泄出去。那么,作为创意性公司的GUCCI,重要的核心资料、设计方案、客户信息的泄露将会给它带来令人无法想象的巨大损失!可以说对一家创意公司而言,创意的丢失就意味着死亡!
这不由引人深思:当我们通过、UTM、等等防护技术,为企业构建起一个牢固的“外壳”的时候,我们的核心信息就已经安全了吗?
再看第二个案例,某大型企业研发中心,因为内部人员泄密,付出了1000余万元研发费用、众多研发人员辛勤劳动全部付诸东流的惨痛代价。让我们看看公安部门技术人员到达现场后发现的问题:设计人员电脑与普通工作人员电脑连在同一个局域网内、所有电脑都可以上互联网、机密文件设成共享、打印资料随意带出、计算机端口允许人员将资料随意拷出…以上的种种现象,充分的表现出了该企业的信息防护体系是多么的脆弱与混乱,而这,也正是国内大多数企业所常见的现状。
综合上面两个案例,我们可以发现,无论是国外的知名企业,还是国内的大型公司,他们都明显的忽略一个问题——来自公司内部的泄露风险。“事实上,对于企业来说,它们最关注的不应该是系统有没有遭到了入侵,而应该是在系统中存放的数据和信息有没有被盗取,有没有被篡改,或者说是不是已经被破坏掉了!这才是重点。”这句话深刻说明了一件事情,那就是核心数据才是企业最应该关注的地方。所以能够直接接触核心信息的员工,才最有可能带给公司带来最大的损害。然而,对于内部员工的管理,因为目前办公均为电子化办公,需要使用到大量电子信息,包括技术资料,客户信息等等关键数据,数量庞大,流转速度又非常迅速,仅仅通过管理手段与规章约束,可以说根本就无法起到实际性的效果。
同时案例二,又体现出另外一个问题。信息一旦泄露根本无法追查,在实际的诉讼过程中取证也成为最大的问题,因为无法取证,或证据效力不够,导致许多企业只能吃哑巴亏。而且信息的泄露大多数只有在问题出现后才能被发现,许多企业的重要信息早已泄露,但因目前未被公开使用,所以一直未被知悉,一旦使用,势必造成巨大的经济损失,就相当于一个又一个未被察觉的定时炸弹,时刻隐藏在企业的周围。