|
【日经BP社报道】如果太热衷于工作会有什么危险呢。首先请您回答以下提问。
【问题1】是否将工作带到家中?
【问题2】即使外出也要在空隙时间利用网吧工作?
【问题3】是否共享笔记本电脑中的数据,在部门间进行协同作业?
【问题4】自己搜寻安装方便使用的软件以提高工作效率?
【问题5】在出差地为了了解电子邮件请同事代看?
请问您的回答有几个YES呢。如果您有上述情形之一就需要“注意”了。热衷于工作当然好,不过所有上述行为都有可能泄漏企业信息或者导致系统故障。实际上,上述提问是通过采访根据发生的信息泄漏问题总结出来的。由于职员或相关人员随意的行动或由于不经意的失误导致信息泄漏或系统故障的事件越来越多。
虽然本人没有恶意,但每位职员的日常行为中潜藏着有可能威胁到企业安全的因素。越是拚命工作的人或者是业务越繁忙的人危险性越大。这是因为他们接触重要信息的机会更多而且由于太忙安全意识反而逐渐淡泊的缘故。无论是不注意还是由于不经意的失误所致,信息一旦泄漏便会对企业造成严重的影响。
那么努力工作的职员如果有上述问题的话,为会引发哪些问题呢。下面笔者将逐一做出分析。
笔记本电脑的丢失案件之多出乎意料
最近笔者在采访时提出了“贵公司的职员曾经丢过笔记本电脑吗?”的问题。虽然只调查了十几家公司,但迄今为止回答“YES”的公司却为100%。笔记本电脑有体积小、存储容量大的特点,因此将大量信息带到公司外部的情形越来越多。笔记本的使用者可能认为“这没有什么”,但是这些数据对于公司外部的人来说却很有价值的。
以问题1“将工作带到家中”的人士为例,笔记本电脑或保存数据的储存器是一件非常危险的事情。据警视厅公布的“东京犯罪(平成14年内)”的资料显示,6年之内打破车窗盗窃或调包盗窃案件数增加了1.7倍。相比偷盗和扒窃等其他盗窃手段,此类案件数增加很快。去年底发生的福岛县岩代町的居民信息数据被盗案件也是破车窗盗窃的手段。当时受委托保管数据的业者主办人员将在岩代町役场收到的数据放在车上,其前往另一个事务所期间窃贼打破车窗盗窃了数据。
携带信息外出并不仅仅限于笔记本电脑或存储器的情况。去年三菱重工业就曾经发生过将下一个战斗机相关数据泄漏到公司外部的事件,当时该公司职员为了回家工作将上述数据附在电子邮件的附件中发送到了自己的邮箱。如果他回到家后不工作或者是不太积极的职员就有可能就不会泄漏信息。
外面充满了危险
很多企业允许通过因特网访问企业的软件或者公司的内部系统,如果有的职员“即使外出也要在空隙时间利用网吧工作”那就需要注意了。也许有人说已经使用了安全套接层(Secure Socket Layer,SSL)等加密方法对于通信进行加密以防止窃听或者系统已经不会在其缓冲区(Local Cache)中留下数据所以不会有问题,但事实上仅靠这些并不足以防止信息泄漏。
今年3月6日,假冒他人通过因特网从银行非法取款1600万日元(约合人民币100万元)的嫌疑人被逮捕,他是用安装在网吧电脑中名为KeyLogger的监视软件(Spyware),取得并记录键盘输入信息从而盗取了用户的ID和密码。由于直接取得的是键盘的敲击纪录因此即使对通信进行加密也没有用。由此推想,利用同样的方法盗取访问公司内部系统用的ID和密码也不出奇。
利用无线LAN访问服务也有危险。如果员工的行为属于“共享笔记本电脑中的数据,在部门间进行协同作业”这一范畴,那么就有可能通过无线LAN接入服务泄漏企业信息或者感染病毒。事实上在去年10月23~25日在宫崎县喜凯亚(Seagaia)举行的IBM系统用户培训会“第13届iSUC”上便发生过类似“事件”。
当时参加iSUC会议的一位用户在打开桌上的连接网络的电脑之后大吃一惊。“在网络中设置文件共享的人数是如此之多,而且电脑的名称中还包含有公司名称并且从其共享的文件夹名称还可以推测其中的数据大概是什么”。此外,在该次的iSUC上以个人电脑的共享文件夹为攻击目标的蠕虫通过无线LAN访问服务扩大了感染。
提高业务效率的举措暗藏安全漏洞
反病毒软件的设置方法早就成为常识,但总是有那么一些职员在这方面搞错。对问题4回答YES的“自己搜寻安装方便使用的软件以提高工作效率”的人士有可能无意中停用了反病毒软件或者改变了自动更新病毒定义文件的设置。
日本数据通信协会就由于反病毒软件的设置失误导致其信用受到重创。因为系统主管人员为了提高个人电脑的处理速度的采取了一些措施但这些措施却导致访问该协会网站的一般用户感染上蠕虫病毒。
至于问题5“在出差地为了了解电子邮件请同事代看”,笔者也没有资格对别人说三道四。笔者虽然没有请同事代看电子邮件,但曾经请同事操作过公司内的系统。在这里说多一句,后来笔者变更了密码。在信息泄漏事故中最可怕的是案犯来自内部。后来笔者没有被恶意利用的迹象,但是一位SI供应商的产品策划主办人员在“不经意向一位职员透露密码以后居然发现这位职员有时擅自查看我的电子邮件”。
“不加思索”地做出的行为往往会导致信息泄漏从而威胁到企业信息系统。加强系统防范能力从而避免“不经意”的举动造成泄漏信息固然重要,但最重要的还是提高员工的安全意识。笔者打算提供能够提高这方面意识的信息。如果您想到“这种做法也很危险”肯请务必告诉笔者。(记者:铃木 孝知)
|
