多起員工導(dǎo)致的數(shù)據(jù)泄密、刪庫事件,企業(yè)如何保護機密信息安全?

大米粒說安全
發(fā)生數(shù)據(jù)泄露事件時,即使企業(yè)在法庭勝訴,證明員工疏忽大意或懷有惡意目的,也不過是一次得不償失的勝利。這樣只會將組織那滿是缺陷的網(wǎng)絡(luò)安全保護機制暴露在公眾目光之下。
  2019年網(wǎng)絡(luò)安全預(yù)測:
 
  內(nèi)部威脅導(dǎo)致在訴訟中互相追責(zé),2019年法院將會審理這樣一起案件:一次數(shù)據(jù)泄露事件發(fā)生后,一位員工聲稱自己無罪,而雇主卻認為這是其蓄意所為。
 
   
 
  訴訟
 
  故意泄露數(shù)據(jù)事件居多
 
  當(dāng)工作場所發(fā)生數(shù)據(jù)泄露,尤其是泄露事件導(dǎo)致員工的個人可識別信息(PII)暴露時,依據(jù)《數(shù)據(jù)保護法》,員工可以進行違規(guī)辯護。但是,如果雇主確認員工有目的地盜取數(shù)據(jù)或?qū)е滦孤叮怯謺鯓幽兀?/div>
 
  這不應(yīng)該和散漫及無意的疏忽混為一談。有24%的員工承認會共享機密的商業(yè)信息,在這樣的背景下,必須加強對于關(guān)鍵數(shù)據(jù)的保護。即使是當(dāng)選官員也曾公開討論是否應(yīng)該讓員工知道工作電腦的密碼。雖然許多事件都被歸類為“意外”,但它們都起源于惡意的意圖,即引發(fā)更多泄露。盜竊、使用惡意軟件或者未經(jīng)授權(quán)訪問被歸類為數(shù)據(jù)泄露的可能性是非故意或意外事件的三倍之多。
 
   
 
  數(shù)據(jù)安全
 
  近年來,程序員刪庫事件頻繁
 
  2019年法院將會審理這樣一起案件:一次數(shù)據(jù)泄露事件發(fā)生后,一位員工聲稱自己無罪,而雇主卻認為這是其蓄意所為。
 
  2017年10月,一位員工被起訴,理由是他在決定自主創(chuàng)業(yè)后,擦除了公司配備的筆記本電腦上的數(shù)據(jù)。該員工最終被判有罪,理由是他在離職前,復(fù)制然后刪除30了其公司所配電腦上的多個文件。法院認為,即使員工能夠訪問文件,只要他們以不忠于其公司的方式使用信息,這種訪問便屬于”非授權(quán)“行為。
 
  究竟是泄密者還是破壞者
 
  2018年6月20日,前特斯拉員工馬丁被起訴,根據(jù)法庭文件,他收集和泄露數(shù)據(jù),試圖警告投資者和公眾:生產(chǎn)報告中存在涉嫌誤導(dǎo)信息,并披露特斯拉汽車內(nèi)安裝的是存在缺陷的電池模塊。特斯拉反駁了馬丁在訴訟中的說辭,表示馬丁工作表現(xiàn)不佳,是最后一次調(diào)職導(dǎo)致馬丁做出行業(yè)破壞舉動,他們指控馬丁安裝軟件,使其即便離開公司仍能持續(xù)收集數(shù)據(jù)。
 
  馬丁究竟是一個破壞者還是泄密者,尚未有定論。當(dāng)員工有目的地銷毀數(shù)據(jù)或?qū)⒅R產(chǎn)品發(fā)送給競爭對手或新雇主時,通常都會引發(fā)“雙方各執(zhí)一詞”的局面。在這個案例中,馬丁泄露機密信息的舉動并不是爭論的焦點,大家討論的是,他這么做的動機會極地影響哪一方會獲得法庭保護和公眾的同情。
 
   
 
  泄密者還是破壞者
 
  數(shù)據(jù)泄密對企業(yè)造成不可磨滅的損失
 
  發(fā)生數(shù)據(jù)泄露事件時,即使企業(yè)在法庭勝訴,證明員工疏忽大意或懷有惡意目的,也不過是一次得不償失的勝利。這樣只會將組織那滿是缺陷的網(wǎng)絡(luò)安全保護機制暴露在公眾目光之下。
 
  不管法官的裁決是有利于企業(yè)還是員工,高管們都會發(fā)現(xiàn),要舉證證明自己的技術(shù)和組織安全措施足夠且適當(dāng),必須依賴于其內(nèi)部程序和系統(tǒng)。組織必須第一時間發(fā)現(xiàn)惡意活動,在關(guān)鍵系統(tǒng)和知識產(chǎn)權(quán)受損之前將其扼殺;并且應(yīng)該采取行動,在IT環(huán)境中實施工作場所監(jiān)控網(wǎng)絡(luò)安全技術(shù),以全面了解事件的前因后果并證明最終用戶的意圖。
 
   
 
  企業(yè)監(jiān)控
 
  企業(yè)應(yīng)該保障工作場所安全監(jiān)控工作
 
  這不是說2019年將會成為“非我即敵”或者是員工與雇主博弈的一年。公司的成功能夠為員工帶來有既得利益,工作場所監(jiān)控完全是為了保護人員和數(shù)據(jù)。通過工作場所監(jiān)控來管控組織內(nèi)部威脅,是安全專家智囊里的一個有力法寶,是保護客戶、知識產(chǎn)權(quán)和品牌以及員工良好聲譽的可靠方法。
 
  同時,實施工作場所監(jiān)控計劃時必須遵循三大核心原則:基于合法的目的、遵守比例原則且實施過程中應(yīng)確保完全透明。保護個人數(shù)據(jù)和私隱不再是最佳實踐,而是每個成功組織的基本要素。
THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論