【51CTO.com快译】这听起来像是影视剧里面的剧情:一家公司踌躇满志的新员工与完美员工合作,后者承诺:彼此合作会大获成功。但是这个内部员工其实是危机四伏的家伙,随时准备对公司大搞破坏。
下面要介绍的两个故事讲述了,如果这样的员工为非作歹,公司又没有落实足够的IT安全措施来阻止他们对敏感数据大搞破坏,会发生什么样的后果。与此同时,安全解决方案提供商需要告知潜伏在公司的技术基础设施里面的潜在危险。
我不可想危言耸听、夸大数据安全危险,或者让公司害怕自己的员工。确实很少有员工带来任何与IT有关的麻烦(不过这种情形确实比大家想象的来得常见)。这里的教训是,如果公司制定了可靠的安全防范措施,比如加密和数据控制机制,就没必要担心员工的举动。如果你在读这篇文章,就能轻易汲取这个经验教训。
只可惜这两个故事里面的公司没有汲取。
第一个故事:“你被解雇了!”(噢,我们能不能要有我们的数据?)
一家全国性的医疗器械经销商有一支庞大的销售队伍,成员遍布美国各地。许多销售人员从家里、机场或其他偏远地方使用公司的设备,比如手机、平板电脑和笔记本电脑。该公司最重要、最严加保护的信息就是客户名单;实际上,有一次,一名前雇员设法从这份名单搞到了一些客户数据,并以此开办了一家与之竞争的(并大获成功)的公司。
供职于这家公司的销售人员受到客户名单上部分客户的信任以开展工作。遗憾的是,销售是个不好做的行当;有时候,由于表现差强人意,公司会解雇员工。有一回,有个销售人员接到公司打来的电话,告诉她被解雇了,她一下子崩溃了。公司要求她交还公司财产(即公司设备,里面存储有最重要的客户名单的部分资料)。她说“没门”,就挂断了电话。
该公司立即打电话给我们,我们启动了远程监控和管理(RMM)工具,查明那个销售人员的设备的状况。我们立马发现,这位女销售员已经开始将客户名单复制到USB驱动器。为此,我们执行了命令,取消文件传输、删除那些文件,不过她随后将笔记本电脑下了线。最后,只好向警方报了案。
我们向这家公司表明:要是之前作好了更充分的防备,情况会好得多。要是能提前几分钟,便于托管服务提供商(MSP)使用的工具就会删除所有的敏感数据,吊销该销售人员的登录信息,甚至确定执行终止命令的时间:一旦她的电话响起,就关闭其设备。那家公司当时的做法就好比将突发性新闻告知持有凶器的人。如果这家公司之前想过会发生什么,很容易缴了她的械。
第二个故事:数据长了腿,径直走出大门
刚刚成为我们客户的一家大型诊所的IT安全工作做得很差劲,简直形同虚设。一开始,新的办公室主任打电话给我们,说遇到了糟糕的情形,需要我们支持:一个不安全的无线接入点允许任何人都可以访问该诊所专用网络上的数据。这位主任不知道的是,但我们的资产库存管理工具后来查明,她所在地方少了一个销售点终端。这个终端(Windows 7 PC)并不在楼内,但是我们用远程监控和管理工具能够发现它接入网络。
这种情况带来了许多问题。诊所在处理病人数据时,就要满足《健康保险可携性及责任性法案》(HIPAA)的要求:所有的电子个人健康信息(ePHI)应加以保护,以满足严格的合规准则。在这种情况下,数据不仅有可能因这个不安全的接入点而泄露出去,那个失窃的销售点终端也无疑在硬盘上含有包括病人信息的销售发票。这两种情况都可能会导致数据泄密,面临政府罚金、名誉败坏,因而让公司蒙受惨重损失。
我们的远程监控和管理工具能够访问那台失窃的笔记本电脑,我们实际上远程发现这一幕:有人使用真实姓名登录到该笔记本电脑上。之后,我们搜索这个人,甚至查出了他的社交媒体帐户,这让我们知道了他的地址。你也猜到了,这个人与我们客户之前招聘的一个人有关,那个人是合同工,担任“IT专业人员”。由于工作性质使然,他可以携带设备径直走出大门,公司管理很混乱,根本没有注意到这个问题。我们使用工具更改了用户的密码,并关闭其帐户。此后,那个人可能需要格式化硬盘,才能进一步使用那台笔记本电脑。我们原本可以使用一款工具进去、删除特定的ePHI文件,但客户不知道那台电脑上有什么,也没有一套跟踪记录系统。
我们一直在竭力建议这家诊所实施我们在IT安全方面建议采取的措施,可是到头来,它显然不愿意做该做的工作。由于HIPAA要求和责任同样适用于服务于诊所的IT安全提供商,我们在缺少信任后没多久就结束了关系,觉得这家诊所无法避免将来的类似问题。
防护措施很简单
拥有敏感数据的企业组织明白保护自己远离内外威胁很简单,这点很重要。它可以采取的措施很简单,又不费钱,也不会妨碍用户的活动。如果公司方法得当,许多员工甚至不知道自己的数据受到了加密;就算员工突然决定实施盗窃,或者企图以另一种方式对公司大搞破坏,也可以远程防范。
原文标题:Guarding Against The Internal Security Threat
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】