1987年,意大利经济学者帕累托在对英国人财富与收益模式进行调查时发现,大部分的财富流向了少数人手里。在对大量事实进行研究后,他得出结论:社会上20%的人占有80%的财富。随后人们惊奇地发现在社会各个领域,都存在这样一种二八定律。一个企业20%的客户贡献80%的销售额;一个国家20%的人口消耗80%的医疗资源。而在信息泄露防护中我们可以发现,其实80%的泄密事件发生于20%的风险点。
根据内网安全企业溢信科技的观察,这20%的高风险点主要包括以下三个关键层面:
一、关键人群
在企业中存在这样一群人,他们或手握企业机密,或者熟悉企业机密的存储与信息泄露防护策略,只要他们想拷走企业的机密数据,就能轻易地绕过障碍找到目标,达到目的,并对企业造成十足的威胁与损害。
A、离职人员
据美国信息安全公司Cyber-Ark最新调查,大部分的IT人员在辞职后,会窃取公司的一些敏感信息,包括CEO的帐户密码、客户资料等机密。高达88%的IT管理员承认,如果突然被公司辞退,他们将盗取公司机密信息,这些信息主要包括有CEO的帐户密码,客户资料数据库,公司战略计划,财务报告,并购计划和特权密码清单等。而在中国,数据显示离职人员拷走资料的比例达到70%以上,很多人在离职时会将公司机密资料拷走,以作为寻找下一份工作的筹码,或者用于创业。
B、涉密人员
机密文档管理员、网络超级管理员、高层等等,这些都属于企业的涉密人员。对于设有专门档案管理部门的企业来说,他们会将该部门与其他部门隔离开来,但对文档管理人员的权限却缺乏有效的控制。而网络超级管理员在很多企业中都存在,他们审计与管控其他所有部门,但其本身却不被审计,即使违规操作也无人察觉,成为企业信息泄露防护体系的一个大BUG。至于高层则不用说,在2012东软泄密、2013HTC泄密等多个事件中,主要涉案人员都是公司副总级以上人员。
C、特殊合作方
包括共享文档共同开发的战略合作伙伴,重要业务的外包商等,如果对方利用共享数据私下开发,或者将数据泄露,无疑会对企业造成难以预料的伤害。2012年上海市数十万新生儿信息泄露,正是因为委托医院对外包项目的防泄密疏于管理,结果导致外包数据库维护人员在自己家中即完成了数据下载,随后进行贩卖。
二、关键载体
A、移动存储设备
如U盘、移动硬盘、智能手机等。为了享受所谓的业务便利性,相当多的公司对移动存储设备都缺乏良好的管理。这些设备数量众多、种类各异、分布零散,且使用频繁,同时存储着公司很多机密资料,对企业的信息泄露防护工作提出极大的挑战。据调查,每2个USB盘中就有1个包含敏感信息,而在所有泄密事件中,因U盘泄密的比例超50%。
B、应用服务器
很多公司通过OA/ERP/CVN/CRM/PLM等信息管理系统对技术资料、市场策略等数据进行集中存储,但对这些业务系统的访问权限却没有制定合理的管理策略。什么人该访问什么系统,可以浏览哪种级别的文档,这些都没有成文的规定。有的甚至一个人就可以看到整套技术的信息,一旦泄密将对公司形成直接的威胁。
C、网络服务器
如网盘、网络邮箱等。很多人都习惯用邮箱与客户交流信息,而当工作未完成时也往往习惯性将相关文档发到自己邮箱或者网盘中,以便回家继续完成。但从信息泄露防护的角度来看,发出去的资料就如泼出去的水,企业是无法收回的。据调查,每 400 封邮件中就有1封包含敏感信息,每50 份通过网络传输的文件中就有1份包含敏感数据。一旦双方脱离雇佣关系,这些资料可能会成为公司巨大的隐患,成为企业防泄密的硬伤。
三、关键部门
每个企业都有自己核心的部门,这些部门存储着核心机密,比如研发部:自主开发的工艺与配方、研发计划、软件源代码等;财务部:业绩考核表、资产负债表、薪酬表等;设计部:设计方案、图纸等等。这些机密关系着公司的生死存亡,若泄密势必元气大伤,企业信息泄露防护尤其需要注重对这些特别区域的防护。
对很多企业尤其中小企业而言,在防泄密意识上可以说是外防充足,但内控虚弱。而当众多内部泄密事件如惊雷般连连在耳边炸响时,顿时慌了手脚不知所措,于是临时选系统搭防线,却又感觉力不从线,找不到重点,顾此失彼。溢信科技建议,不如从以上三个关键点入手,也许能够让企业的信息泄露防护达到事半功倍之效。