2008年12月19日 星期五

裁員潮當心資料外洩

反應: 

經濟不景氣導致企業紛紛緊縮編制,甚至採取裁員策略。針對這波正在陸續發生非自願離職潮,企業應平常即做好避免資料外洩準備。

離職員工導致資料外洩國內外案例
刑事警察局於今年(2008)3月接獲企業報案,某企業離職員工自行成立一家與舊公司性質雷同的電子商務公司,該離職員工盜用接任同仁的帳號、密碼,入侵公司資料庫,甚至取得舊公司國外競標的訂單,竊取資料值5百萬台幣。今年(2008)初某購物台離職經理將客戶資料存入個人硬碟中,並盜賣14萬筆個資取得不法獲利。

Check Point去年(2007)六月以「員工與資料安全」為題,向英國二百位高級資訊科技專業人士進行研究調查,結果顯示,接近半數英國人會把舊雇主資料帶到新公司使用。雖然有百分之七十四的受訪企業,規定員工不得攜帶公司資料離開辦公室,但仍有百分之八十五的員工承認可以輕易下載公司的商業競爭資料。

<小測試>貴公司有資料外洩風險嗎?
□是否在員工離職前,啟動資料保護與存取控制程序?
□是否有員工在離職前,已經將敏感資料「備份」在家中的電腦或未獲授權的儲存裝置?
□在員工違反公司安全政策,如將機密文件複製到 USB 時,有辦法立即察覺並阻止嗎?
□在監控與強制實施資安規定時,可兼顧員工生產力與避免「被監控」的反彈嗎?
□ 引進新的行動裝置或拓展遠端據點時,是否有相對防制資料外洩的對策?

資料外洩防不勝防,企業主應更主動尋求防禦措施
由於不僅要抵禦外來入侵,還必須防禦內部有心人士竊取資訊,因此趨勢科技推出一套專門防止內部員工不小心或刻意將資料外洩的資料防洩防禦解決方案Trend Micro Leaf Prool (TMLP)。傳統的資料外洩解決方案,大多使用關鍵字規則來偵測機密資訊,有心人士只要改寫部分內容,很容易瞞騙過去,而有些解決方案則是建構在網路端,無法有效的鎖定每一臺用戶端的電腦的USB;此外,目前普遍所見的E- DRM解決方案,通常只針對某些特定的檔案格式,無法達到全面有效的資料外洩防護。

LeakProof利用多重比對引擎,為每一份文件製作獨一無二的DNA,也就是所謂的「指紋」,這些「指紋」能讓用戶端裝置在連線或離線時強制實行保護措施。就算是有心人將文件的某段重要文字剪下貼入電子郵件中,LeakProof仍能判別出來,並禁止文件寄出。LeakProof支援300多種檔案格式,電子郵件、Web- Mail、IM、FTTP、HTTP、SMTP等網路通訊協定,並包含用戶端裝置的輸入輸出管道,例如將檔案傳送到USB行動碟、光碟機等等,IT管理員能夠輕鬆停用某些裝置,有心人士很難用各種管道瞞騙過關。

LeakProof共有伺服器端與個人端軟體。IT管理員能自行編輯,顯示在使用者電腦畫面上互動式「警示」對話方塊內容,可藉此教育員工如何正確處理機密資訊。未獲授權的資料傳輸及複製會被阻擋,或是能要求員工在將資料複製到USB 裝置前,使用內建的資料加密模組將資料加密。趨勢科技強調:「安裝LeakProof Client端軟體,可以避免使用者透過個人電腦或是利用USB將檔案偷偷Copy出去;在佈署資料防洩防禦系統時,必須考慮到如何才能不驚擾員工,也不應該影響工作生產力,管理人員可以設定讓使用者在完全不知不覺的情況下運作這套軟體,並維持管理運作的協調。」

此文章節錄自 2008 毒賣新聞 - 裁員潮當心資料外洩 - Trend Micro Taiwan

相關連結:
Trend Micro LeakProof 3.1 - Trend Micro Taiwan
十大避免資料外洩守則