小心你的前雇员 他们也许会出卖你

2014年11月30日07:40:00小心你的前雇员 他们也许会出卖你已关闭评论

在今年9月遭遇全球零售业历史上最大的信息安全事件之后,美国最大的家居建材零售商家得宝(Home Depot)正计划在今年年底前在其所有美国门店推出芯片支付终端。

调查人员称,黑客通过盗取商家用户名和密码进入该公司的零售系统,共有5600万个信用卡账号遭到攻击,最早入侵时间追溯到今年4月份。此次事件的影响范围大于去年美国大型零售商Target遭遇的攻击,两家公司遭遇的黑客手段如出一辙,当时黑客盗窃了至少4000万个支付卡号和7000万份客户数据。

这也只是冰山一角。据责任企业与贸易中心(CERATe.org)与普华永道的估算,全球每年因商业机密被盗取而产生的财务损失已高达7490亿美元至2.2万亿美元。按照中国内地与香港地区4%的参与调查率来计算,这项数值为300亿美元到900亿美元之间。

普华永道在其11月26日发布的《2015年全球信息安全状况事件调查》中统计,经过抽样调查,全球年营收超过10亿美元的大型企业检测到的信息安全事件比去年增加44%,每年因信息安全给企业带来的平均损失约为270万美元,比去年增长了34%,损失超过2000万美元以上的企业数量也在增长。

前雇员是信息安全事件的最大嫌疑人,调查显示,41%的中国内地及香港受访者认可这一说法。此前普华永道还曾在《2014年全球经济犯罪调查报告》中披露,中国内地受访者称其80%的经济犯罪事件疑为内部人员所为。普华永道中国网络安全服务合伙人张俊贤表示,“56%的企业给予员工特殊访问权限,对于内部人员造成的潜在威胁,企业所采取的防范措施力度在下降。”目前大多数公司没有设立内部威胁机制,因而防范、侦测,甚至应对根本无从谈起。对于造成信息安全问题的内部员工,公司通常只采取内部处理的方式,没有案底记录,这为员工未来的新东家埋下潜在隐患。

除了前雇员,被授予准入权限的第三方供应商所造成的安全事件也呈增加趋势。Target用户信息被窃事件,正是因为黑客通过该公司一家电冰箱供应商的电子账户获得权限,从而进入了该公司的支付终端。计算机安全专家曾批评零售商不能很好地将公司网络的敏感区域与其他可供外来用户进入的区域进行隔离。

普华永道在与来自154个不同国家逾9700位受访企业高管和专业人员进行调查后发现,仅55%的企业对外部合作伙伴、供应商、服务商设置安全门槛。

美国Hunton & Williams律师事务所合伙人,网络信息安全及隐私事务专家Lisa J. Sotto认为,信息安全隶属IT部门是个错误决定,“信息安全应属于商业风险范畴,而非IT事务,应该是独立的部门,有自己的监管体系与预算。这样才能保障信息安全应有的资源。”

普华永道建议企业建立战略性安全管控体系:确保信息安全的管控策略与商业目标一致,并使信息安全投入成为战略投资;识别最具价值的信息资产,并优先保护高价值数据;为了减少对各类攻击的响应时间,企业要充分了解对手,包括他们的动机,可能会利用的资源,以及他们会使用的攻击方式等;评估第三方与供应链合作伙伴的信息安全状况,以确保他们符合企业要求的安全策略;积极参与多方合作,提高企业的网络安全意识。

更多专业报道,请点击下载“界面新闻”APP

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信公众号扫一扫
  • weinxin