這聽起來像是影視劇里面的劇情：一家公司躊躇滿志的新員工與完美員工合作，后者承諾：彼此合作會(huì)大獲成功。但是這個(gè)內(nèi)部員工其實(shí)是危機(jī)四伏的家伙，隨時(shí)準(zhǔn)備對(duì)公司大搞破壞。

下面要介紹的兩個(gè)故事講述了，如果這樣的員工為非作歹，公司又沒有落實(shí)足夠的IT安全措施來阻止他們對(duì)敏感數(shù)據(jù)大搞破壞，會(huì)發(fā)生什么樣的后果。與此同時(shí)，安全解決方案提供商需要告知潛伏在公司的技術(shù)基礎(chǔ)設(shè)施里面的潛在危險(xiǎn)。

我不可想危言聳聽、夸大數(shù)據(jù)安全危險(xiǎn)，或者讓公司害怕自己的員工。確實(shí)很少有員工帶來任何與IT有關(guān)的麻煩(不過這種情形確實(shí)比大家想象的來得常見)。這里的教訓(xùn)是，如果公司制定了可靠的安全防范措施，比如加密和數(shù)據(jù)控制機(jī)制，就沒必要擔(dān)心員工的舉動(dòng)。如果你在讀這篇文章，就能輕易汲取這個(gè)經(jīng)驗(yàn)教訓(xùn)。

只可惜這兩個(gè)故事里面的公司沒有汲取。

第一個(gè)故事：“你被解雇了!”(噢，我們能不能要 有我們的數(shù)據(jù)?)

一家全國性的醫(yī)療器械經(jīng)銷商有一支龐大的銷售隊(duì)伍，成員遍布美國各地。許多銷售人員從家里、機(jī)場或其他偏遠(yuǎn)地方使用公司的設(shè)備，比如手機(jī)、平板電腦和筆記本電腦。該公司最重要、最嚴(yán)加保護(hù)的信息就是客戶名單;實(shí)際上，有一次，一名前雇員設(shè)法從這份名單搞到了一些客戶數(shù)據(jù)，并以此開辦了一家與之競爭的(并大獲成功)的公司。

供職于這家公司的銷售人員受到客戶名單上部分客戶的信任以開展工作。遺憾的是，銷售是個(gè)不好做的行當(dāng);有時(shí)候，由于表現(xiàn)差強(qiáng)人意，公司會(huì)解雇員工。有一回，有個(gè)銷售人員接到公司打來的電話，告訴她被解雇了，她一下子崩潰了。公司要求她交還公司財(cái)產(chǎn)(即公司設(shè)備，里面存儲(chǔ)有最重要的客戶名單的部分資料)。她說“沒門”，就掛斷了電話。

該公司立即打電話給我們，我們啟動(dòng)了遠(yuǎn)程監(jiān)控和管理(RMM)工具，查明那個(gè)銷售人員的設(shè)備的狀況。我們立馬發(fā)現(xiàn)，這位女銷售員已經(jīng)開始將客戶名單復(fù)制到USB驅(qū)動(dòng)器。為此，我們執(zhí)行了命令，取消文件傳輸、刪除那些文件，不過她隨后將筆記本電腦下了線。最后，只好向警方報(bào)了案。

我們向這家公司表明：要是之前作好了更充分的防備，情況會(huì)好得多。要是能提前幾分鐘，便于托管服務(wù)提供商(MSP)使用的工具就會(huì)刪除所有的敏感數(shù)據(jù)，吊銷該銷售人員的登錄信息，甚至確定執(zhí)行終止命令的時(shí)間：一旦她的電話響起，就關(guān)閉其設(shè)備。那家公司當(dāng)時(shí)的做法就好比將突發(fā)性新聞告知持有兇器的人。如果這家公司之前想過會(huì)發(fā)生什么，很容易繳了她的械。

第二個(gè)故事：數(shù)據(jù)長了腿，徑直走出大門

剛剛成為我們客戶的一家大型診所的IT安全工作做得很差勁，簡直形同虛設(shè)。一開始，新的辦公室主任打電話給我們，說遇到了糟糕的情形，需要我們支持：一個(gè)不安全的無線接入點(diǎn)允許任何人都可以訪問該診所專用網(wǎng)絡(luò)上的數(shù)據(jù)。這位主任不知道的是，但我們的資產(chǎn)庫存管理工具后來查明，她所在地方少了一個(gè)銷售點(diǎn)終端。這個(gè)終端(Windows 7 PC)并不在樓內(nèi)，但是我們用遠(yuǎn)程監(jiān)控和管理工具能夠發(fā)現(xiàn)它接入網(wǎng)絡(luò)。

這種情況帶來了許多問題。診所在處理病人數(shù)據(jù)時(shí)，就要滿足《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)的要求：所有的電子個(gè)人健康信息(ePHI)應(yīng)加以保護(hù)，以滿足嚴(yán)格的合規(guī)準(zhǔn)則。在這種情況下，數(shù)據(jù)不僅有可能因這個(gè)不安全的接入點(diǎn)而泄露出去，那個(gè)失竊的銷售點(diǎn)終端也無疑在硬盤上含有包括病人信息的銷售發(fā)票。這兩種情況都可能會(huì)導(dǎo)致數(shù)據(jù)泄密，面臨政府罰金、名譽(yù)敗壞，因而讓公司蒙受慘重?fù)p失。

我們的遠(yuǎn)程監(jiān)控和管理工具能夠訪問那臺(tái)失竊的筆記本電腦，我們實(shí)際上遠(yuǎn)程發(fā)現(xiàn)這一幕：有人使用真實(shí)姓名登錄到該筆記本電腦上。之后，我們搜索這個(gè)人，甚至查出了他的社交媒體帳戶，這讓我們知道了他的地址。你也猜到了，這個(gè)人與我們客戶之前招聘的一個(gè)人有關(guān)，那個(gè)人是合同工，擔(dān)任“IT專業(yè)人員”。由于工作性質(zhì)使然，他可以攜帶設(shè)備徑直走出大門，公司管理很混亂，根本沒有注意到這個(gè)問題。我們使用工具更改了用戶的密碼，并關(guān)閉其帳戶。此后，那個(gè)人可能需要格式化硬盤，才能進(jìn)一步使用那臺(tái)筆記本電腦。我們原本可以使用一款工具進(jìn)去、刪除特定的ePHI文件，但客戶不知道那臺(tái)電腦上有什么，也沒有一套跟蹤記錄系統(tǒng)。

我們一直在竭力建議這家診所實(shí)施我們在IT安全方面建議采取的措施，可是到頭來，它顯然不愿意做該做的工作。由于HIPAA要求和責(zé)任同樣適用于服務(wù)于診所的IT安全提供商，我們在缺少信任后沒多久就結(jié)束了關(guān)系，覺得這家診所無法避免將來的類似問題。

防護(hù)措施很簡單

擁有敏感數(shù)據(jù)的企業(yè)組織明白保護(hù)自己遠(yuǎn)離內(nèi)外威脅很簡單，這點(diǎn)很重要。它可以采取的措施很簡單，又不費(fèi)錢，也不會(huì)妨礙用戶的活動(dòng)。如果公司方法得當(dāng)，許多員工甚至不知道自己的數(shù)據(jù)受到了加密;就算員工突然決定實(shí)施盜竊，或者企圖以另一種方式對(duì)公司大搞破壞，也可以遠(yuǎn)程防范。