作者: 潘春燕编译, 出处:it168, 责任编辑: 郭秋爽, 2008-06-12 09:49
虽然目前许多公司在竭力保护自己、避免发生下一次TJX那样的重大数据泄露事件,但它们忽视了另一种风险:社交网络。
美国零售业巨头TJX公司的信用卡支付系统在年初被黑客入侵,共有465万个信用卡号码被盗,从而使这起事件成为迄今为止最大的一起数据泄露事件。虽然目前许多公司在竭力保护自己、避免发生下一次TJX那样的重大数据泄露事件,但它们忽视了另一种风险:社交网络。几乎每家公司内部都有人在写博客——无论这是不是官方博客。
不是说只有“迷你微软”(Mini-Microsoft,常常抨击微软的内部博客)才会带来问题。热情高涨却对公司政策不是很熟悉的员工、公开留言板上的开发人员,甚至是员工偶尔谈论一下工作的私人博客,它们都会带来风险。
弗雷斯特咨询公司近期的一项调查研究了诸如此类的内容安全问题。委托弗雷斯特公司作这项调查的是Proofpoint,这家公司提供电子邮件安全与数据泄露预防解决方案。
2007年7月进行的这项调查收到了员工数量不少于1000人的美国公司返回的308份答卷。弗雷斯特公司发现,20%以上的调查对象事后发现“在过去的12个月通过发布在博客或者留言板上的内容泄露了机密、敏感或者私密的信息。”
Proofpoint公司的市场开发主管Keith Crosley说:“安全与IT从业人士刚刚开始对博客和留言板有一清醒认识。主要担心的还是从公司发出去的电子邮件,但其他这几种消息传送及网络联系方式也不容忽视。”
粗心员工与恶意员工一样危险
公司员工通常并不是心怀叵测,只是粗心大意而已。AOL在去年发生的数据泄露事件就是一个典例。AOL曾在现已停办的研究网站上发布了与搜索查询有关的信息,此举侵犯了658000名用户的隐私。虽然AOL用数字取代用户姓名,试图以此保护用户的身份,但弄清楚许多这些用户的身份还是比较容易,因为用户常常在AOL上查找自己、亲朋好友以及所在小区的信息。
AOL肯定没有恶意,只是太粗心罢了。AOL以为,这些信息有助于研究人员,他们的本意肯定也不是想侵犯顾客的隐私。他们就是没有把问题考虑全面,从而导致了重大丑闻、在公众跟前颜面全无、失去了许多顾客、缠身官司,最后开除了三名员工,其中包括首席技术官。
据弗雷斯特研究公司的分析师G. Oliver Young声称,甚至早在员工进来之前,公司就要开始为内容控制而操心了。他说:“如果求职者把有问题的内容放在MySpace或者Facebook页面上,这就要引起警惕。”如今,公司在为求职者提供面试机会之前就审查这些网站的做法司空见惯。
据Proofpoint公司的Crosley声称,这个问题要比大多数人认为的来得严重。他说:“每发生一起重大的数据泄露事件,恐怕就有数百起比较小的同类事件。”只是这些事件没有公之于众。事件在公司内部得到了处理,结果常常以解雇相关人员收场。
Crosley说:“人力资源部门开始审查某个员工的网上行为时,事态其实很严重了。”在过去,员工很担心公司对自己的上网浏览习惯吹毛求疵。毕竟,随着工作融入到知识员工的个人生活当中,许多人认为,在工作时间偶尔处理些私事是完全合情合理的。同样,知识工作的压力使得员工休息十分钟、查看体育比赛得分同样是可以接受的。
Proofpoint公司发现,绝大多数雇主并不担心浪费时间。“如果人力资源部门在监控员工的网上行为,那么这种行为几乎总是与数据泄露或者机密信息被偷有关——而不是浪费时间的行为。担心工作效率是否受到影响是次要得多的问题。毕竟,单单浪费些时间不会让你的股东价值损失数百万美元之巨。”
不过,数据泄露和数据被偷未必与网上行为有关。美国退伍军人管理局(VA)传出重大的数据泄露丑闻后,事后查明原来是一名IT员工把笔记本电脑给丢了。随着与便携式存储设备有关的费用越来越低,发生类似事件的可能性却越来越大。
由于如今市面上出现了数GB容量的USB驱动器,而且价位很低,每天晚上都会出现类似VA的风险,因为你的员工有可能怀揣数GB的信息离开办公楼。
SkyRecon Systems公司的首席运营官兼美国业务部总裁Philippe Honigman说:“要像管理敏感应用软件那样来认真管理外部存储设备及外设。公司提供的大多数USB驱动器没有内置的验证或者加密机制,大多数公司完全忽视了这些设备带来的风险。”