內(nèi)部員工泄密,是會(huì)對(duì)企業(yè)造成特別大的損失的���,所造成的后果可不只是經(jīng)濟(jì)損失那么簡(jiǎn)單���。這次咱們就從之前可口可樂(lè)發(fā)生的泄密事件為例,了解一下內(nèi)部員工泄密到底有多嚴(yán)重!
?
可口可樂(lè)在早期發(fā)現(xiàn)了一個(gè)安全問(wèn)題�,執(zhí)法人員通知可口可樂(lè),公司子公司的一名前員工拿走了包含員工信息的外部硬盤(pán)���?��?煽诳蓸?lè)配合執(zhí)法機(jī)構(gòu)的調(diào)查,確認(rèn)了這些數(shù)據(jù)的真實(shí)性�����。不過(guò)��,可口可樂(lè)公司沒(méi)有根據(jù)要求立即披露事件情況�。
?
根據(jù)州法律,該公司現(xiàn)在正在向受影響的員工發(fā)送通知函�����。據(jù)公司發(fā)言人稱(chēng)�,數(shù)據(jù)泄露已經(jīng)影響了約8000名員工。
?
“我們正在向大約8000名個(gè)人信息發(fā)布數(shù)據(jù)泄露通知���,這些人的個(gè)人信息被存儲(chǔ)在電腦文件中��,前員工離開(kāi)公司時(shí)帶走了他的個(gè)人信息��,”公司發(fā)言人稱(chēng)���。
?
“我們非常重視信息安全�����,同情所有信息被曝光的人。我們對(duì)造成的不便感到遺憾��。目前還沒(méi)有信息被盜用的情況�。“
?
早在2014年���,可口可樂(lè)就曾警告了大約74,000名員工稱(chēng)���,他們的個(gè)人信息因公司被盜而泄露。
?
從這件事情中���,我們就可以知道內(nèi)部威脅也是引發(fā)數(shù)據(jù)泄露問(wèn)題的主要原因之一了�。為了確保數(shù)據(jù)安全��,內(nèi)部威脅必須得到重視。
?
什么是內(nèi)部威脅��?
?
內(nèi)部威脅就是內(nèi)部人員利用合法獲得的訪問(wèn)權(quán)對(duì)組織信息系統(tǒng)中信息的機(jī)密性�����、完整性以及可用性造成負(fù)面影響的行為����。包括惡意的和非惡意行為。
?
據(jù)Forrester Research Survey的研究報(bào)告顯示��,超過(guò)60%的安全問(wèn)題是由內(nèi)部引起����;FortScale的調(diào)查報(bào)告則顯示,85%的數(shù)據(jù)泄露是來(lái)于內(nèi)部威脅�。
?
內(nèi)網(wǎng)的信息資產(chǎn)主要包括用戶(hù)數(shù)據(jù)信息、訂單信息����、金融財(cái)務(wù)信息、知識(shí)產(chǎn)權(quán)�、組織機(jī)密資料等。泄露行為通常分為惡意行為和非惡意行為�。其中����,惡意內(nèi)部人員通常通過(guò)自己擁有的內(nèi)部訪問(wèn)權(quán)限�,利用企業(yè)內(nèi)部的安全管理漏洞對(duì)組織的數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器�����、ERP應(yīng)用/OA應(yīng)用/業(yè)務(wù)應(yīng)用����、終端、網(wǎng)絡(luò)進(jìn)行訪問(wèn)獲取機(jī)密信息�����。而由非惡意人員引發(fā)常見(jiàn)的安全事故是工作失當(dāng)造成的損失�����,包括文檔管理不善��、密碼憑證的遺失和泄露���、辦公電腦的遺失��、打開(kāi)釣魚(yú)郵件�、誤刪除操作��、無(wú)意間的談?wù)摰葘?dǎo)致的信息泄露����。
?
從多個(gè)案例中可知,泄露信息的大部分都是企業(yè)內(nèi)部人員���,原因是內(nèi)部人員相比外部攻擊者有顯著的“優(yōu)勢(shì)”���。
?
他們不僅熟悉組織的政策、程序和技術(shù)�,而且對(duì)內(nèi)部的弱點(diǎn)了如指掌。惡意內(nèi)部人員甚至可能是安全設(shè)備的策略配置者���。因此內(nèi)部威脅相對(duì)于外部威脅����,檢測(cè)極其困難�����。
?
產(chǎn)生威脅的內(nèi)部人員包括管理人員、管理員���、合作的第三方人員以及普通職員�����。這些崗位要正常開(kāi)展工作���,必須獲取一定的數(shù)據(jù)訪問(wèn)權(quán)限。很難界定正常工作和惡意數(shù)據(jù)竊取行為�����,監(jiān)管更為困難�����。
?
因此����,對(duì)于企業(yè)而言����,除了要部署安全的網(wǎng)絡(luò)系統(tǒng)來(lái)防護(hù)外部攻擊的同時(shí)����,也需要在企業(yè)內(nèi)部部署數(shù)據(jù)防泄漏系統(tǒng)�,或設(shè)備,實(shí)現(xiàn)全面防護(hù)�����。
?
京公網(wǎng)安備 11010602103847號(hào)
