資安服務說明 關於本網站 網站導覽
i-Security 電子報 第 112期【2011/08/31】

(2011.08.31  第一一二期)

資安隨堂測驗

Q1. D
Q2. D

Q3. B

 




 
小撇步類別 :
網路安全
人員與環境安全
資料與存取安全
系統安全
案例
  小心離職員工的回馬槍(人員與環境安全)  
  發生日期:2011/4/7
案例情境:某國際知名品牌位於美國紐約總部日前解雇一名台裔網路工程師Jack(化名),他因此心生不滿,為了報復且炫耀自己技能,Jack違法入侵公司電腦系統,且惡意搗毀及刪除檔案資料,造成該公司超過二十萬美元的損失,日前以電腦駭客等罪名將他起訴。

  根據檢方資料指出,Jack於任職期間被控濫用員工折扣,購買商品轉售亞洲圖利,因此在2010年5月被公司解雇。但Jack於受雇期間利用職務之便,以虛假的員工資料設立帳號,方便自己登入公司系統。被解僱後,也多次以該帳戶入侵公司的網站,進行破壞。

  Jack在入侵行動中,癱瘓了公司網站及電郵近廿四小時,大多數檔案及電郵遭刪除。另外,也刪除多個伺服器,關閉一個內部系統,把公司的電子郵箱全刪掉,不僅公司員工無法登入,更影響到全美所有分店以及電子商業部門,對銷售造成嚴重損失。讓受害的公司投入超過20萬美元來搶救遭到刪除的檔案。

  Jack被控告破壞電腦資料、盜竊身分資料、篡改商業檔案、非法持有電腦相關資料等五十項罪名,每項罪名可判處一到十五年徒刑。

資料來源:中時電子報

防範措施:
離職員工竊取或者破壞公司資料的新聞在台灣也時有所聞,嫌犯經常是曾擔任、接觸或掌握重要資訊的業務、研發及資訊部門的員工。另外,IT也是現代企業維持正常運作的重要關鍵。面對負責維運工作的資訊部門及常接觸重要資料的員工,企業最好有完善的管理機制予以控管,避免事情發生後,還要花費更多的金錢與時間來補救。

以下提供幾則小撇步,讓企業在人員安全控管上能更多方面思考:
1.涉及使用資訊處理設施之職務,以及涉及敏感性資訊(如財務資料、公司重要機密)的職務,不論是新進或派任,都應更仔細審慎地進一步對人員檢核。
2.除了宣導與法令說明等教育訓練外,更必須簽訂保密合約以確實規範和警示法律責任,以達到遏阻作用。
3.防止非經授權的員工將電腦資料複製於任何外接式儲存媒體,如必要,可在不違反公司政策下監控員工的異常資料存取。
4.實施存取控制,防止員工接觸、存取非關自身業務之資料。
5.離職員工之帳號及密碼應在離職生效時同時移除,並且讓其他員工、接洽單位及合作廠商等知道。
6.離職員工曾經共用過之帳號及密碼應立即更新或移除。

作者:NII產業發展協進會 蔡佳淇 管理師
 
     

最近案例
病歷當便條紙 病患隱私遭洩漏…
資料庫遭受SQL Injection攻擊 員工客戶資料失竊…
中選會網站出ㄘㄟˊ…
高校生帳號被盜 莫名被買家罵詐欺…
色情遊戲埋木馬個資被公開 制裁盜版使用者的網站出現…

 

 
 
Copyright ©NII 產業發展協進會 隱私權政策免責聲明IPR