[[430813]]

對眾多企業而言，來自外部的黑客始終是一個威脅，但有時候，更為嚴重的風險來自企業內部。根據波耐蒙研究所(Ponemon Institute)的數據，內部威脅平均每年使大型企業和組織損失1792萬美元，涉及個人、企業敏感數據等信息。這些威脅的源頭往往來自一些員工和合作伙伴。通過以下這些案例，生動展現了這些威脅所帶來的巨大危害。

事件一

• 行業：醫療保健
• 公司：某醫療包裝公司
• 事件類型：數據破壞
• 事件日期：2020
• 公開披露事件：2020

去年，美國聯邦檢察官判定，該公司一位名叫克里斯托弗·多賓斯的前員工犯有利用計算機輔助進行的犯罪破壞行為，他在被公司解雇后，以之前擁有的管理權限創建虛假賬戶訪問了公司的運輸系統，在新冠疫情爆發的高峰期干擾和延遲了了公司對個人防護設備(PPE)的正常發貨。克里斯托弗還創建第二個賬戶編輯或刪除了近12萬條公司記錄，為公司帶來超20萬美元的損失。

事件二

• 行業：制造
• 公司：通用電氣公司(GE)
• 事件類型：知識產權盜竊、欺詐
• 事件日期：2011-2012
• 公開披露事件：2019

經過長期的調查和繁雜的法庭訴訟，FBI揭露了兩位前GE員工米格爾·塞爾納斯和讓·帕特里斯·德利亞公然竊取公司知識產權和商業機密的行為。最初，參與高度復雜渦輪機制造的性能工程師德利亞通過自身權限下載了涉及該器械的機密性文件，并說服IT部門某員工幫助他獲取了成本模型、提案和合同等文件。利用這些信息，他和塞爾納斯成立了一家競品公司，不僅在同產品上削弱了GE，也在FBI進行調查的同時正常運行了多年。

事件三

• 行業：制造
• 公司：豐田
• 事件類型：商業欺詐郵件
• 事件日期：2011-2012
• 公開披露事件：2019

一位從事商業欺詐郵件(BEC)的詐騙者，通過冒充該公司的商業合作伙伴，成功欺騙了歐洲子公司的一名財務人員，將3700萬美元匯入了一個外國賬戶。

這些BEC騙局通常會針對一些目標公司內平時會粗心大意的人員，攻擊者會先通過獲得公司的網絡訪問權限進行深入偵察，觀察內部員工或員工與合作伙伴間的通信模式，以便進行模仿并篩選出能夠被欺騙的潛在目標，并適時發出他們精心準備的郵件陷阱。

事件四

• 行業：電信
• 公司：AT&T
• 事件類型：
• 事件日期：2012-2017
• 公開披露事件：2019

因賄賂可以進入公司系統的公司員工，解鎖大量價格昂貴的iPhone手機在AT&T網絡之外使用，美國電信供應商AT&T公司為此蒙受了長期的巨額損失。罪犯的主要策略是賄賂呼叫中心員工在AT&T系統上安裝惡意軟件，使他們能夠按要求自動解鎖AT&T手機。該計劃使AT&T損失了價值2億美元的用戶，涉及200萬部解鎖手機。巴基斯坦居民穆罕默德-法赫德(Muhammad Fahd)于2018年因該罪行被捕，并在9月初被美國地區法院判處12年監禁。

事件五

• 行業：金融
• 公司：第一資本
• 事件類型：1億個信用卡申請和賬戶被入侵
• 事件日期：2019
• 公開披露事件：2019

亞馬遜網絡服務(AWS)的一名前軟件工程師通過在職時掌握的有關客戶云部署弱點，利用AWS的客戶第一資本(Capital One)錯誤配置的防火墻漏洞，獲取了特權賬戶憑證，并竊取和傳播了1億名信用卡申請人和賬戶持有人的信息。美國司法部已在今年對這起事件提出了七項計算機欺詐和濫用以及訪問設備欺詐的指控。

事件六

• 行業：金融
• 公司：紐約某信用社
• 事件類型：惡意刪除文件
• 事件日期：2021
• 公開披露事件：2021

紐約一家信用社在解雇一名叫朱莉安娜巴里爾的員工后，IT部門沒有按照規定停用其賬戶。她在40分鐘的時間內瘋狂刪除了21.3GB的公司數據， 包括2萬個文件和3500個目錄，以及公司的抵押貸款申請和反勒索軟件。她還訪問了一些如董事會記錄在內的敏感文件。

事件七

• 行業：技術
• 公司：薇塔芙(Vertafore)公司
• 事件類型：泄露用戶敏感信息
• 事件日期：2020

公開披露事件：2020保險軟件開發商Vertafore的某員工在存儲數據時，將數據文件存儲在一個不安全的外部存儲服務中，導致2770萬德克薩斯州司機的敏感信息被泄露，包括該公司用來為其軟件創建保險評級功能的數百萬份駕駛執照的信息。這是云存儲時代因人為原因造成數據泄露的典型案例。Vertafore因此正面臨集體訴訟。

事件八

• 行業：技術
• 公司：亞馬遜
• 事件類型：通過訪問機密信息進行內幕交易
• 事件日期：2016-2018
• 公開披露事件：2020

亞馬遜稅務部門的高級經理拉克沙-博拉利用她掌握的財務信息，編制季度報表，以幫助她的家人通過內幕交易獲利。根據美國檢察官辦公室的說法，拉克沙-博拉向她的丈夫提供了公司未公開的收入和利潤信息，他利用這些信息在亞馬遜連續11次公布收益之前進行非法股票和期權交易，使這個家庭在過程中獲利140萬美元。在今年夏天簽署的認罪協議中，她丈夫被判處26個月監禁，并被罰款260多萬美元。

事件九

• 行業：零售
• 公司：加內特爆米花
• 事件類型：盜竊商業機密
• 事件日期：2019
• 公開披露事件：2019

根據2019年提交給美國伊利諾伊州北區地方法院的訴訟，芝加哥爆米花零售業的代表——加內特爆米花指控前研發總監艾莎-普特南通過將公司數據復制到U盤，并向自己的個人郵箱發送電子郵件，從公司竊取了5000多份文件，包括產品的成分、配方、公式和方法。 普特南則在去年反訴該公司，聲稱被解雇和最初的訴訟是對她向上司提出的健康和安全投訴的報復。無論真相如何，該事件為訪問和處理敏感知識產權的內在風險提供了一個典型例子。

事件十

• 行業：政府
• 公司：美國達拉斯市
• 事件類型：敏感數據被意外刪除
• 事件日期：2018-2021
• 公開披露事件：2021

有時，內部人員的疏忽對技術基礎設施的破壞程度不亞于那些意圖報復的惡意人員。據《達拉斯晨報》報道，在一次內部審查中，發現一名IT人員因為刪除了超過22TB大小的警察局文件而被解雇。據稱，自2018年以來，該IT人員因為無視了相關數據遷移傳輸的相關規定，致使大量文件被錯誤刪除。

通過以上案例不難發現，來自企業的內部威脅主要有如下幾類：

• 內部人員為獲私利獲取機密數據
• 涉密離職人員的賬號或權限未能及時收回
• 因工作疏忽導致的數據損失或泄露

這些潛在的數據安全“漏洞”，讓企業不得不從多角度思考、建立數據安全機制，除了建立防火墻、數據加密存儲、完善賬號使用制度等提高數據防護的“硬指標”，更要防范諸如社會工程學等方面的隱形滲透，做好人員思想工作，提高人員的安全意識。