公司員工的博客在泄露商業(yè)機(jī)密嗎

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

美國(guó)零售業(yè)巨頭TJX公司的信用卡支付系統(tǒng)在年初被黑客入侵，共有465萬(wàn)個(gè)信用卡號(hào)碼被盜，從而使這起事件成為迄今為止最大的一起數(shù)據(jù)泄密事件。雖然目前許多公司在竭力保護(hù)自己、避免發(fā)生下一次TJX那樣的重大數(shù)據(jù)泄露事件，但它們忽視了另一種風(fēng)險(xiǎn)：社交網(wǎng)絡(luò)。幾乎每家公司內(nèi)部都有人在寫(xiě)博客—— 無(wú)論這是不是官方博客。

不是說(shuō)只有“迷你微軟”（Mini-Microsoft，常常抨擊微軟的內(nèi)部博客）才會(huì)帶來(lái)問(wèn)題。熱情高漲卻對(duì)公司政策不是很熟悉的員工、公開(kāi)留言板上的開(kāi)發(fā)人員，甚至是員工偶爾談?wù)撘幌鹿ぷ鞯乃饺瞬┛?，它們都?huì)帶來(lái)風(fēng)險(xiǎn)。

弗雷斯特咨詢公司近期的一項(xiàng)調(diào)查研究了諸如此類的內(nèi)容安全問(wèn)題。委托弗雷斯特公司作這項(xiàng)調(diào)查的是Proofpoint，這家公司提供電子郵件安全與數(shù)據(jù)泄露預(yù)防解決方案。

2007年7月進(jìn)行的這項(xiàng)調(diào)查收到了員工數(shù)量不少于1000人的美國(guó)公司返回的308份答卷。弗雷斯特公司發(fā)現(xiàn)，20%以上的調(diào)查對(duì)象事后發(fā)現(xiàn)“在過(guò)去的12個(gè)月通過(guò)發(fā)布在博客或者留言板上的內(nèi)容泄露了機(jī)密、敏感或者私密的信息?！?/P>

Proofpoint公司的市場(chǎng)開(kāi)發(fā)主管Keith Crosley說(shuō)：“安全與IT從業(yè)人士剛剛開(kāi)始對(duì)博客和留言板有一清醒認(rèn)識(shí)。主要擔(dān)心的還是從公司發(fā)出去的電子郵件，但其他這幾種消息傳送及網(wǎng)絡(luò)聯(lián)系方式也不容忽視?！?/P>

粗心員工與惡意員工一樣危險(xiǎn)

公司員工通常并不是心懷叵測(cè)，只是粗心大意而已。AOL在去年發(fā)生的數(shù)據(jù)泄露事件就是一個(gè)典例。AOL曾在現(xiàn)已停辦的研究網(wǎng)站上發(fā)布了與搜索查詢有關(guān)的信息，此舉侵犯了658000名用戶的隱私。雖然AOL用數(shù)字取代用戶姓名，試圖以此保護(hù)用戶的身份，但弄清楚許多這些用戶的身份還是比較容易，因?yàn)橛脩舫３Ｔ贏OL上查找自己、親朋好友以及所在小區(qū)的信息。

AOL肯定沒(méi)有惡意，只是太粗心罷了。AOL以為，這些信息有助于研究人員，他們的本意肯定也不是想侵犯顧客的隱私。他們就是沒(méi)有把問(wèn)題考慮全面，從而導(dǎo)致了重大丑聞、在公眾跟前顏面全無(wú)、失去了許多顧客、纏身官司，最后開(kāi)除了三名員工，其中包括首席技術(shù)官。

據(jù)弗雷斯特研究公司的分析師G. Oliver Young聲稱，甚至早在員工進(jìn)來(lái)之前，公司就要開(kāi)始為內(nèi)容控制而操心了。他說(shuō)：“如果求職者把有問(wèn)題的內(nèi)容放在MySpace或者Facebook頁(yè)面上，這就要引起警惕?！比缃?，公司在為求職者提供面試機(jī)會(huì)之前就審查這些網(wǎng)站的做法司空見(jiàn)慣。

據(jù)Proofpoint公司的Crosley聲稱，這個(gè)問(wèn)題要比大多數(shù)人認(rèn)為的來(lái)得嚴(yán)重。他說(shuō)：“每發(fā)生一起重大的數(shù)據(jù)泄露事件，恐怕就有數(shù)百起比較小的同類事件?！敝皇沁@些事件沒(méi)有公之于眾。事件在公司內(nèi)部得到了處理，結(jié)果常常以解雇相關(guān)人員收?qǐng)觥?/P>

Crosley說(shuō)：“人力資源部門開(kāi)始審查某個(gè)員工的網(wǎng)上行為時(shí)，事態(tài)其實(shí)很嚴(yán)重了?！痹谶^(guò)去，員工很擔(dān)心公司對(duì)自己的上網(wǎng)瀏覽習(xí)慣吹毛求疵。畢竟，隨著工作融入到知識(shí)員工的個(gè)人生活當(dāng)中，許多人認(rèn)為，在工作時(shí)間偶爾處理些私事是完全合情合理的。同樣，知識(shí)工作的壓力使得員工休息十分鐘、查看體育比賽得分同樣是可以接受的。

Proofpoint公司發(fā)現(xiàn)，絕大多數(shù)雇主并不擔(dān)心浪費(fèi)時(shí)間?！叭绻肆Y源部門在監(jiān)控員工的網(wǎng)上行為，那么這種行為幾乎總是與數(shù)據(jù)泄露或者機(jī)密信息被偷有關(guān)——而不是浪費(fèi)時(shí)間的行為。擔(dān)心工作效率是否受到影響是次要得多的問(wèn)題。畢竟，單單浪費(fèi)些時(shí)間不會(huì)讓你的股東價(jià)值損失數(shù)百萬(wàn)美元之巨?！?/P>

不過(guò)，數(shù)據(jù)泄露和數(shù)據(jù)被偷未必與網(wǎng)上行為有關(guān)。美國(guó)退伍軍人管理局（VA）傳出重大的數(shù)據(jù)泄露丑聞后，事后查明原來(lái)是一名IT員工把筆記本電腦給丟了。隨著與便攜式存儲(chǔ)設(shè)備有關(guān)的費(fèi)用越來(lái)越低，發(fā)生類似事件的可能性卻越來(lái)越大。

由于如今市面上出現(xiàn)了數(shù)GB容量的USB驅(qū)動(dòng)器，而且價(jià)位很低，每天晚上都會(huì)出現(xiàn)類似VA的風(fēng)險(xiǎn)，因?yàn)槟愕膯T工有可能懷揣數(shù)GB的信息離開(kāi)辦公樓。

SkyRecon Systems公司的首席運(yùn)營(yíng)官兼美國(guó)業(yè)務(wù)部總裁Philippe Honigman說(shuō)：“要像管理敏感應(yīng)用軟件那樣來(lái)認(rèn)真管理外部存儲(chǔ)設(shè)備及外設(shè)。公司提供的大多數(shù)USB驅(qū)動(dòng)器沒(méi)有內(nèi)置的驗(yàn)證或者加密機(jī)制，大多數(shù)公司完全忽視了這些設(shè)備帶來(lái)的風(fēng)險(xiǎn)。”（IT168）