【家賊難防?!】內鬼洩密真的防不可防?
《Big Breaches: Cybersecurity Lessons for Everyone》作者 Neil Daswani 呼籲企業正視內鬼。他引述數據,2005 年至 2009 年每年平均少於 25 宗內鬼洩密,2010 年至 2014 年上升至平均每年 100 宗,當中以 2013 年 National Security Agency(NSA)中擔任基層技術員的 Edward Snowden 事件最為觸目,可能此事警剔各行各業,內鬼洩密事件之後幾年一直回落,2019 年甚至錄得零個案,資安界以為可以鬆一口氣,就開心得太早。在新冠病毒改變生存法則下,2020 年內鬼重出江湖,個案急增,各行業無一倖免,尤以醫療界為重災區,其次係金融、零售、政府與軍事機構。
Daswani 以 Edward Snowden 為例,指出難以想像一個基層技術員,可以同時擁有 SSH Keys、Digital Certificates、Smart Card 與外包人員通行證,從而解鎖高度機密情報放題,開始一啖一啖入侵整個情報網,日積月累下載過百萬檔案,然後爆大鑊,整個過程竟然可以殺美國國家安全局 NSA 一個措手不及 。一個普通外判技術員可以有這麼多權限,成就這個世紀洩密,Daswani 覺得不可思義,同時相當警世。
2020 年 COVID19 延伸遙距工作,內鬼群起而舞,Daswani 引用資安風險管理偵測平台 Code 42 數據,指出洩密行為遠比疫情前頻繁。面對急速轉變,CISO 與資安團隊明顯未能全盤掌握資訊流量,至於擁有最高機密權限的員工,企業亦未能第一時間制定相關安全守則,防範他們洩密。例如客戶服務員在辦公室時,不能攜帶手機或紙筆,以防範記下顧客資料。可惜遙距工作下,創造相同工作環境難度大增,將辦公室規條引入員工私人範圍,又會引起道德爭議。
遙距工作已經實施超過 1 年,相信 Hybrid 將會主導未來工作模式,Daswani 認為企業必須為遙距工作訂立安全守則,重掌資訊流通透明度。Twitter、Tesla、Shopify 這些科網企業,最近因內鬼肆虐而相繼失守,這些企業的資安策略均以堵截為目標,此乃業界標準手法,盡量防範於未然,但對在系統入面的內鬼卻毫無作用。他建議 HR 聘請員工前必須做心理測試,重點留意洩密風險高的人格,採納用戶行為分析工具搜集對該人格員工的數據,並予以高度監察與偵察。