小心!資料外洩的人為威脅

然而,企業內部較容易疏忽的是,內、外部的「人員」,竟也有可能是造成公司資料外洩的最大威脅!

2008年11月,英國傳出存放有政府機關處理稅務網頁登入密碼的隨身碟被民眾拾獲,迫使英國政府緊急下令關閉此網站,以保護1,200萬筆網路報稅民眾的個人資料安全;另外,國內去年最大宗資料外洩案之一,數十萬筆國中基測考生個資外洩,即是補教業者公司內部人員為賺取暴利,主動販賣考生個資造成!由此可見,除了企業加強建構最佳安全的軟硬體設備外,因「人為因素」造成資料外洩更是不可忽視的重要原因。

當電腦逐漸普及,甚至連資料的來源、管道都可輕易獲知時,我們需要防範的人不只是駭客而已。由於每個人都可能不小心出錯,或許在生活上我們會認為偶爾出錯不致造成重大損失。但身為企業中的員工時,若在工作上出錯,很不幸地,企業的資料外洩與威脅便有可能來自於那次意外中!
讓我們來看看,究竟哪些人或情況,可能造成資料安全上的危機。

Check Point臺灣區技術顧問陳建宏

員工使用外接裝置

一份來自英國的資料外洩報告指出,過去一年來,大多數且重要的資料外洩事件,都發生在公司內部員工意欲將資料備份儲存在隨身碟之類的外接裝置上。這個動作看似單純,員工因為想讓工作如期完成,就把公司資料另存在隨身碟裡,公務家辦。但從報告中的數據顯示,大部分的資料外洩就是發生在這種無意的情況下。因此,企業若不主動灌輸員工使用公司資料安全上的防範觀念措施,或加強資安解決方案,資料外洩事件只會繼續發生。

為此,2007年11月,Check Point調查了英國公營與私人企業中,140位IT管理階級人員。其中73%表示,他們出版或製作IT安全政策來防護企業資料外洩,如使用USB前應先確認是否內藏病毒,或使用的正確步驟等。其中不到50%的企業受訪者則表示,公司內部擁有加強商業資料的安全解決方案,如資料加密、控管資料匯流管道等。

海關人員例行檢查

無論是洽公或旅遊,當你出入境時,有時某些檢查措施是不必要的,例如搜查筆記型電腦、智慧型手機或其他科技裝置內的檔案等。即使資料已被加密處理,但如果有必要,海關人員依然可以保留或複製科技裝置中的任何資料,而這個舉動也有可能造成資料外洩!

公用電腦的危機

許多商務旅客應該都有過這樣的經驗,在長途飛行前,利用候機時間使用機場的公用電腦收發電子郵件、或準備開會報告。但當旅客使用完電腦,並刪除資料後,企業或個人資訊是否真的已不存在電腦的記憶體中?如果你不能很肯定的回答這個問題,那麼當你使用公共場所的電腦存取資料時,就有可能造成企業機密文件外洩的極大危機。

旁人偷窺!

接著,若你已做好像是加密、鎖碼等,所有防護資料的相關措施後,別忘了人們還是可以經由最簡單的「看」或「聽」來讀取你的資料,進而導致資料外洩。一個IT高階經理前往英國出差,在飛行途中,他使用筆電處理公司內部一些機密資料,但沒想到臨座正是競爭公司的員工之一!因為對方將公司機密資料記憶在腦中,最後造成公司機密資料外洩,最新研發技術就這樣被對方竊取利用。

(作/ Check Point臺灣區技術顧問陳建宏)

……未完(更多內容請參閱網路資訊雜誌2009年1、2月號206、207期)