經濟不景氣導致企業紛紛緊縮編制,甚至採取裁員策略。針對這波正在陸續發生非自願離職潮,勞苦功高的 IT 部門業應平常即做好避免資料外洩準備。
離職員工導致資料外洩國內外案例 刑事警察局於今年(2008)3月接獲企業報案,某企業離職員工自行成立一家與舊公司性質雷同的電子商務公司,該離職員工盜用接任同仁的帳號、密碼,入侵公司資料庫,甚至取得舊公司國外競標的訂單,竊取資料值5百萬台幣。今年(2008)初某購物台離職經理將客戶資料存入個人硬碟中,並盜賣14萬筆個資取得不法獲利。
Check Point去年(2007)六月以「員工與資料安全」為題,向英國二百位高級資訊科技專業人士進行研究調查,結果顯示,接近半數英國人會把舊雇主資料帶到新公司使用。雖然有百分之七十四的受訪企業,規定員工不得攜帶公司資料離開辦公室,但仍有百分之八十五的員工承認可以輕易下載公司的商業競爭資料。趨勢科技針對企業終端使用者進行問卷調查,也發現幾個有關資料外洩的事實:
l 獲得授權的員工是導致企業資料外洩主因。儘管大型企業已紛紛採用如虛擬私有網路 (VPN)、防火牆以及網路監控工具等保護措施,試圖防範未經授權的外部人士存取專屬資訊,但這些解決方案仍不足以因應內部使用者日益加劇的威脅。
l 許多員工都不清楚木馬程式與其他惡意程式可能出現在部落格的意見反應與網頁內嵌的其他程式碼中。
l 6% 的終端使用者承認曾經對外洩漏公司資訊,16% 相信其他員工曾導致資料外洩。
l 資料外洩成因包含刻意違反規定,例如竊取資料以換取金錢報酬,也可能是意外造成,例如員工隨處放置隨身碟或遺失內含客戶帳戶號碼的筆記型電腦等。
<小測試>貴公司有資料外洩風險嗎?
□是否在員工離職前,啟動資料保護與存取控制程序?
□是否有員工在離職前,已經將敏感資料「備份」在家中的電腦或未獲授權的儲存裝置?
□在員工違反公司安全政策,如將機密文件複製到 USB 時,有辦法立即察覺並阻止嗎?
□在監控與強制實施資安規定時,可兼顧員工生產力與避免「被監控」的反彈嗎?
□ 引進新的行動裝置或拓展遠端據點時,是否有相對防制資料外洩的對策?如果你的答案多數不確定的,那麼建議你看以完以下文章。
十大避免資料外洩守則
根據世界著名會計事務所KPMG調查,全球有超過2.8億的人口在過去3年中,個人資料曾因防護不周而外洩;在2007~2008年間,駭客入侵造成資料遺失的受害人數,高達6,000萬人;46%的密碼未受妥善保存或加密保護,62%的人曾發生資料遺失。以下是趨勢科技提供的十個避免資料外洩守則:
1. 防止員工將將機密資料複製到USB 隨身碟 員工離職前,可能會將資料複製留底,比如將機密文件複製到 USB 隨身碟時,企業最好採用可立即阻止員工的行為的 DLP資料外洩防護方案。另外,平日提高員工對於資料保護規定的認知,尤其是在「使用時」加以提醒,將有助於減少,甚至完全避免高比例的資料外洩問題,無論是刻意的行為或意外所造成的。
2. 防止員工將敏感資料「備份」在家中將公司帳戶清單轉售給競爭對手等許多行為很顯然應「嚴格禁止」,但是也有許多介於「灰色地帶」的違規行為,比如將敏感資料「備份」在家中的電腦或未獲授權的儲存裝置中。若未善加處理,可能將導致損害更嚴重的資料外洩問題。
3. 偵測相關資料外洩事件,同時不會造成員工的不便與影響生產力任何可能影響員工日常活動的新技術都必須聰明而精確地避免降低員工生產力及造成他們的挫折感。在監控與強制實施防範重要資料外洩的規定,以及讓員工與系統管理員能夠順利完成工作並推動業務成長之間,必須訂出一條明確的界線。
4. 防止非必要的通訊協定進入公司網路。例如 P2P 通訊協定與 IRC 等。
5. 限制所有網路使用者的權限。舉例來說,核心層級的 Rootkit 會以裝置驅動程式的型態進行安裝;因此禁止使用者擁有「載入和釋放週邊設備驅動程式」權限將可大幅降低風險。
6. 建議員工可以瀏覽及禁止瀏覽的網站。許多員工都不清楚木馬程式與其他惡意程式可能出現在部落格的意見反應與網頁內嵌的其他程式碼中。制訂安全政策與網際網路使用方針,以便控管存取的資訊。還應該要求使用者避免安裝不明公司或組織所提供的檔案。
7. 建議員工在接到電子郵件或電話時,勿透露任何敏感資訊。銀行與其他組織絕不會透過電話或電子郵件要求提供帳戶資訊或身份證字號。
8. 建議安裝採用多層架構策略的防護解決方案,以便在資料進入閘道之前,即可在網際網路層級確認其安全性。另外在網際網路閘道,網際網路與企業網路或網際網路服務供應商網路的連接處保護資料。此外還應該在網路端點部署防護措施,以便在使用者的 PC 或伺服器上分析資料。
9. 在網路上部署安全弱點掃瞄軟體:確保所有作業系統與其他軟體均已安裝最新的安全性修補程式,以更新及修補其中所含的安全弱點。所有使用者均應開啟作業系統、瀏覽器以及其他應用程式的「自動更新」功能。
10. 持續定期更新所有系統。為協助保護使用筆記電腦的行動化員工,請持續定期更新所有系統,並選擇具備網際網路層級 (in-the-cloud) 更新功能的安全防護產品
資料外洩防不勝防,企業主應更主動尋求防禦措施
傳統的資料外洩解決方案,大多使用關鍵字規則來偵測機密資訊, 有心人士只要改寫部分內容,很容易瞞騙過去,而有些解決方案則是建構在網路端,無法有效的鎖定每一臺用戶端的電腦的USB;此外,目前普遍所見的E- DRM解決方案,通常只針對某些特定的檔案格式,無法達到全面有效的資料外洩防護。
建議使用的妨資料外洩方案,可將未獲授權的資料傳輸及複製會被阻擋,或是能要求員工在將資料複製到USB 裝置前,使用內建的資料加密模組將資料加密。可以避免使用者透過個人電腦或是利用USB將檔案偷偷Copy出去;在佈署資料防洩防禦系統時,必須考慮到如何才能不驚擾員工,也不應該影響工作生產力,管理人員可以設定讓使用者在完全不知不覺的情況下運作這套軟體,並維持管理運作的協調。
裁員潮與資料外洩的關連
