一位高级企业经理离开了公司,随身带走了他的家庭相框、奖给他的金质笔座,以及几百名雇员的口令。
您公司最有经验的销售代表之一听到了她肯定要被裁掉的传言。但在她下个季度开始时收到辞退通知前,已经设法把长长的A+级客户以及他们的订购和支付历史清单下载到了她的Gmail账户中。
如果您认为“我的公司从来没发生过这种事”或“不是我的雇员”,请您再想一想。专家们说,上面描述的情景每天都在上演,甚至最可信的和熟练的专业人员在面临巨大的经济压力和随时可能降临的裁员时,都会实施数据偷窃和其他计算机犯罪。
最近的统计数据证明了这点。在IT安全机构Cyber-Ark Software公司2008年下半年进行的一项调查中,56%的伦敦和阿姆斯特丹金融服务工作者承认担心裁员。为了应对最坏情况的发生,超过一半以上的人说他们已经下载了计划用来得到下一份工作的竞争性企业数据。
在美国,这个比例略高一些,58%的华尔街工作人员说他们这样做了。所有工作人员中的71%表示,如果未来遇到裁员,他们肯定会带走数据。
RBS Citizens银行业务集成与报告副总裁David Griffeth说:“当人们要为吃的和住的而拼命挣钱时,他们可能去做正常情况下本不会去做的事情,而这正是为什么当经济形势不好时犯罪率上升的原因。这种事不会因为你有学士学位或硕士学位而消失。这是种基于需要的共同的恐惧。你对所犯下的罪行有着不同程度的安慰感。”
供与求
马里兰州Columbia市计算机安全咨询机构Jones Dykstra &Associates合伙人兼数字取证调查员Keith Jones说:“当供过于求时,数据偷窃上升是有道理的。而现在存在着巨大的雇员的供给,因此如果一个人能够使自己比潜在的新雇员更有吸引力,这将成为巨大的诱因。”
同时,失业大军在继续壮大。过去几个月里,Citigroup、SAP、Sun、IBM、Sprint和Microsoft都宣布了裁员,进一步壮大了数万名已经失业的人员队伍,而这些失业人员中的许多人精通技术并且可以访问关键计算机系统、高敏感企业数据,或同时访问这两者。
令人吃惊的并且对企业安全形成致命威胁的是――许多离开企业的工作人员在被解职很长时间后,仍然通过所谓的“孤儿账户”保持着这种访问权。据安全软件公司Symark International对850名安全、IT和人力资源经理的调查发现,40%的公司不知道雇员离开后用户账户是否还未关闭。
此外,30%的经理报告说他们没有定位和关闭孤儿账户的流程。另一项令人遗憾的统计数据显示:他们中的38%的人没有办法确定现雇员或前雇员是否正在利用或利用过孤儿账户访问信息。
Forrester Research公司分析师Jonathan Penn说,最常见的威胁是雇员在被解职前或不久后,可能拿走知识财产,包括战略计划或客户数据。
Jones说,当IT人员被解雇时,事情变得更加危险。
他指出,Roger Duronio之所以能够给公司数据造成巨大的破坏,正是因为“他都可以访问任何地方”。Duronio是UBS Paine Webber前IT工作人员,因植入软件逻辑炸弹而被判了8年监禁。(逻辑炸弹是在某种规定条件下触发恶意功能的软件代码;例如,一个逻辑炸弹可被设置为在某日某个时间删除所有客户账户。)
市场调研公司IDC分析师Sally Hudson说,拥有特权账户访问权的系统管理员和用户(例如那些知道根口令的人)肯定会构成更大的威胁。她说:“那些掌握特权口令的人拥有更改系统数据、用户访问权和配置的能力。他们还具有很容易破坏任何机构的关键IT运营的能力。”
五个措施
尽管存在这些安全漏洞,但企业可以采取措施来限制潜在的破坏。
1、 做好功课
退出战略和安全措施应当根据雇员的角色不同而不同。负责裁员的主管和经理不应当认为关闭计算机访问就像拔下电源插头那样简单。
Jones建议说:“在裁员前,要仔细分析人员的类型。如果他们是销售、人力资源或财务人员或者是高级雇员,撤消他们的访问权可能需要更长的时间,因为他们拥有比其他雇员更大的系统访问权。”
2、 尽可能早地让IT参与裁员计划
弗吉尼亚Alexandria市信息安全专家、咨询师Ken van Wyk说:“IT与人力资源同步很重要。但是,IT人员必须懂得他们的角色的敏感性,并且绝不允许传播谣言。如果一名IT人员告诉人们他们将被裁掉,这名IT人员也必须被写进辞退名单中。”
IDC的Hudson建议,确保在裁员之前实行恰当的安全计划和政策。此外,应当确保企业利用安全系统保护内容安全,防止数据丢失和控制威胁。这类系统包括防火墙、内容与垃圾邮件过滤工具以及杀毒软件。
3、 应当具有安全的身份和访问管理基础设施
Hudson解释说,这类也叫IAM(身份和接入管理)的设施“控制整个企业中用户活动的‘谁’、‘什么’、‘何处’、‘何时’和‘原因’。”具备监测和评估如何使用访问权的能力对于达到政府要求和确定系统滥用至关重要。
4、 根据雇员的角色划分系统访问
这是公司在任何软件开发项目开始时应当执行的安全系统设计原则。van Wyk解释说:“访问控制意味着在业务逻辑层上控制得更严。”
他说,但是公司常常“由于这一措施需要更多的时间和对软件设计的周密考虑”而放弃这一措施。van Wyk说,在缺少最初的安全设计时,下一个最好的补救措施是部署记录用户访问系统和他们在使用不同的业务应用时所采取的行动的软件。
他说:“几乎所有业务应用都具有某种程度的用户ID和口令安全性,因此一旦你登录,你就进去了。” van Wyk解释说,而在使用跟踪系统时,当用户进入数据库,他在数据库中所做的一切都被记录――并可以向执法部门报告。
5、 好分好散,但要为坏的情况做准备
Jones建议,即使裁员进行得很平稳,雇员方面没有明显的不满,但公司仍应当收集证明自己恪尽职守的证据,以防未来发生某种形式的调查。
这是因为遭遇任何类型的安全违规事件(包括被裁减的雇员偷窃数据)的公司必须能够证明他们采取了各种可能的防范措施来保护数据。
Jones说,公司应当复制离职雇员便携机的取证映像,这样如果进行调查时可以提供司法证据。(取证映像是计算机硬盘的拷贝。)
Jones解释说:“通常当不好的事情发生时,并不是马上发生。”事实上,可能需要半年、一年,甚至两年才会发生。他说,的确,复制取证映像会增加费用,但是潜在的诉讼费用必定会抵消这笔费用。
适用于繁荣时期和不景气时期的安全建议
不管经济形势如何,IDC都建议采用这些措施来确保当雇员离开公司时系统是安全的和数据得到保护。
*清晰和完整地记录每一位工作人员访问网络、应用、服务器和楼宇的情况。
*关闭远程连接,包括pcAnywhere系统和VPN。
*撤消用户名和口令。
*如果雇员在IT部门工作,修改根访问和网络访问。
*关闭外部对电话系统的访问。
*确保手持机、智能电话和手机以及PC和便携机一起上缴给公司。
*收回ID卡。
*利用监测软件监测网络传输流。