觀點

劫後重生之(三)Georgia Technology Authority案例

2010 / 05 / 10
文/MICHAEL S. MIMOSO 翻譯/夏克
劫後重生之(三)Georgia Technology Authority案例

Siddiqui還未被公司炒魷魚之前,進GTA上班已經有4年時間,再加上先前也有9年時間都是在州政府擔任程式設計的工作。去年4月,Siddiqui被控利用下班時間,從GTA的硬碟上,非法下載465千多筆的檔案資料;實際上,Siddiqui握有這些資料已長達有3年之久,而調查單位並不清楚,他手上的這堆資料,包括社會安全號碼,到底是想要用來幹嘛?

 

GTA所發生的洩密事件,促使那些目前以電信通訊和數位資料儲存為主要業務的企業組織,跟著要再次檢視自身的雇用程序:在已建立的員工資料部份,還有列入考慮範疇部份,以及在資料庫中所要加強搜尋的內容,都要著手調查雇用人力在前受雇公司的狀況,並且得進行短期的背景查核。

 

為何需要作到這般地步?如果細看此次GTA真正的致命傷,你會察覺,就是在於信任!即便是內部年資甚久的員工,也是值得關注的。面對給予員工適當的授權和存取資料的權限,企業立場是絕對不能動搖。在Siddiqui被捕之後,GTA花了一段時間在強化資料授權過程和程序上頭,並且對於敏感資料的存取,也採取嚴格緊縮的態度。

 

「對於資深員工,你仍要保持適當的警戒心,但要以一種可以讓員工了解並體恤公司的方式來進行。」,GTA 安全部門的主管Mark Reardon說,「員工們必須慶幸他們是站在被信任的一方,而且是通過測試的人員,他們必須要了解到這一點。」

 

關於Siddiqui竊賊案是有許多層面問題,早在2002年的州際司機駕照系統和州際健康規畫系統開始就已經發生:去年四月,他未經許可但卻仍舊登入這些伺服器,在那時候,一位管理人員注意到此事,並且呈報給管理階層。不過,他存取的權限卻未被取消,這件事使得Siddiqui成為入侵者中最危險的類型-足以用合法方式觸碰到這些敏感資料的傢伙之一。

 

再者,2001Siddiqui受雇於GTA公司時,當時該公司並無作任何背景調查,這可是發生事後漏洞的主要原因之一,特別是以員工存取機密資料這個部份來看。此外,現行州政府資訊安全處在檢查每個IT系統時,均依照美國國家標準與技術研究院(NIST, National Institute of Standards and Technology )和聯邦資訊安全管理法(FISMA, Federal Information Security Management Act )的指南行事。通常來講,資料一般都會給予低、中、高度機密的分等,若新進員工在工作上會碰觸到中高等級的資料,就必須接受最初的財務和犯罪的背景調查,並且在受雇期間也要進行短期的查核。

 

此外,員工也必須簽署保密條約,承諾不會向人透露和不當利用掌握在自己手中的資料。

 

Reardon說了,要重新檢視員工對資料安全的認知還可以利用企業內網站進行,藉此可以教育員工有關於資訊安全,以及員工對資料保護的義務與責任。

 

「老實講,這麼做是遭遇到許多的阻礙和問題。」,Reardon又說,「從資安層面來看待的話,我們必須確定對我們所保護的資訊有一番了解。資訊是存放於何處?受到怎麼樣的保護?再者,也要確定代理人對於資料保全的責任,並了解一切都是在他們的掌控之中!」

 

非法侵入也是GTA的另一個焦點項目,GTA通訊部門的JoyceGoldberg表示,GTA需要一台新的資料存放中心來取代原先『老舊』的設備。而且要使用新設備前,需先通嚴格的授權:包括生物特徵辨識存取,另外,它還具有備援及環境自動控制等功能。

 

「我們一直朝向一個不斷改進的模式前進!不過,這不是屬於個人的轉變,而是一種文化上的變革。」Reardon說。