公司员工的博客在泄露商业机密吗?

ZDNet 安全频道频道 更新时间:2008-06-12 作者: 来源:SohuIT

本文关键词:博客 MySpace Facebook

  作者: 潘春燕编译,  出处:it168, 责任编辑: 郭秋爽,  2008-06-12 09:49



  虽然目前许多公司在竭力保护自己、避免发生下一次TJX那样的重大数据泄露事件,但它们忽视了另一种风险:社交网络。



  美国零售业巨头TJX公司的信用卡支付系统在年初被黑客入侵,共有465万个信用卡号码被盗,从而使这起事件成为迄今为止最大的一起数据泄露事件。虽然目前许多公司在竭力保护自己、避免发生下一次TJX那样的重大数据泄露事件,但它们忽视了另一种风险:社交网络。几乎每家公司内部都有人在写博客——无论这是不是官方博客。



  不是说只有“迷你微软”(Mini-Microsoft,常常抨击微软的内部博客)才会带来问题。热情高涨却对公司政策不是很熟悉的员工、公开留言板上的开发人员,甚至是员工偶尔谈论一下工作的私人博客,它们都会带来风险。



  弗雷斯特咨询公司近期的一项调查研究了诸如此类的内容安全问题。委托弗雷斯特公司作这项调查的是Proofpoint,这家公司提供电子邮件安全与数据泄露预防解决方案。



  2007年7月进行的这项调查收到了员工数量不少于1000人的美国公司返回的308份答卷。弗雷斯特公司发现,20%以上的调查对象事后发现“在过去的12个月通过发布在博客或者留言板上的内容泄露了机密、敏感或者私密的信息。”



  Proofpoint公司的市场开发主管Keith Crosley说:“安全与IT从业人士刚刚开始对博客和留言板有一清醒认识。主要担心的还是从公司发出去的电子邮件,但其他这几种消息传送及网络联系方式也不容忽视。”



  粗心员工与恶意员工一样危险



  公司员工通常并不是心怀叵测,只是粗心大意而已。AOL在去年发生的数据泄露事件就是一个典例。AOL曾在现已停办的研究网站上发布了与搜索查询有关的信息,此举侵犯了658000名用户的隐私。虽然AOL用数字取代用户姓名,试图以此保护用户的身份,但弄清楚许多这些用户的身份还是比较容易,因为用户常常在AOL上查找自己、亲朋好友以及所在小区的信息。



  AOL肯定没有恶意,只是太粗心罢了。AOL以为,这些信息有助于研究人员,他们的本意肯定也不是想侵犯顾客的隐私。他们就是没有把问题考虑全面,从而导致了重大丑闻、在公众跟前颜面全无、失去了许多顾客、缠身官司,最后开除了三名员工,其中包括首席技术官。



  据弗雷斯特研究公司的分析师G. Oliver Young声称,甚至早在员工进来之前,公司就要开始为内容控制而操心了。他说:“如果求职者把有问题的内容放在MySpace或者Facebook页面上,这就要引起警惕。”如今,公司在为求职者提供面试机会之前就审查这些网站的做法司空见惯。



  据Proofpoint公司的Crosley声称,这个问题要比大多数人认为的来得严重。他说:“每发生一起重大的数据泄露事件,恐怕就有数百起比较小的同类事件。”只是这些事件没有公之于众。事件在公司内部得到了处理,结果常常以解雇相关人员收场。



  Crosley说:“人力资源部门开始审查某个员工的网上行为时,事态其实很严重了。”在过去,员工很担心公司对自己的上网浏览习惯吹毛求疵。毕竟,随着工作融入到知识员工的个人生活当中,许多人认为,在工作时间偶尔处理些私事是完全合情合理的。同样,知识工作的压力使得员工休息十分钟、查看体育比赛得分同样是可以接受的。



  Proofpoint公司发现,绝大多数雇主并不担心浪费时间。“如果人力资源部门在监控员工的网上行为,那么这种行为几乎总是与数据泄露或者机密信息被偷有关——而不是浪费时间的行为。担心工作效率是否受到影响是次要得多的问题。毕竟,单单浪费些时间不会让你的股东价值损失数百万美元之巨。”



  不过,数据泄露和数据被偷未必与网上行为有关。美国退伍军人管理局(VA)传出重大的数据泄露丑闻后,事后查明原来是一名IT员工把笔记本电脑给丢了。随着与便携式存储设备有关的费用越来越低,发生类似事件的可能性却越来越大。



  由于如今市面上出现了数GB容量的USB驱动器,而且价位很低,每天晚上都会出现类似VA的风险,因为你的员工有可能怀揣数GB的信息离开办公楼。



  SkyRecon Systems公司的首席运营官兼美国业务部总裁Philippe Honigman说:“要像管理敏感应用软件那样来认真管理外部存储设备及外设。公司提供的大多数USB驱动器没有内置的验证或者加密机制,大多数公司完全忽视了这些设备带来的风险。”

安全频道 MySpace 最新报道

[an error occurred while processing this directive]