風險管理小心駭客就在你身邊

公司網路安全最大的威脅,可能來自內部員工或生意伙伴。為此,公司必須採取包括所有層級的內部管理政策、防範網路釣魚、徹底篩選新聘員工、設計妥善的委外流程,並讓員工知道,公司會在法律許可範圍內監控網路活動。
眾所周知,美國連鎖零售商標靶百貨(Target)在2013 年遭受駭客攻擊,竊取約四千萬名顧客的簽帳卡號碼,以及約七千萬名顧客的個人資料。這次事件損害了公司的信譽,導致獲利暴跌,也讓執行長和資訊長丟了工作。但較不為人知的是,雖然駭客來自公司外部,卻是藉由公司內部管道入侵:他們利用一家冷藏設備供應商的身分認證資料進入公司系統。

標靶百貨不是單一個案,它反映了一個日益嚴重的現象。自公司外部而來的攻擊,吸引了相當多的關注,包括:中國猖獗的竊取智慧財產、電腦病毒Stuxnet,以及東歐的網路詐騙集團。然而,攻擊若是來自公司的直接員工和有生意往來的公司,則更具殺傷力。自家人更容易進入公司系統,攻擊機會也更多,因此,可能比外部的駭客造成更大的傷害。他們可能造成的傷害,包括:營運停擺、智慧財產遭竊、名譽受損、投資人和顧客信心直落,以及把機密訊息洩漏給媒體等第三方。根據估計,美國每年至少發生八千萬件公司自家人的駭客事件。但實際數字可能更高,因為這類事件經常沒有曝光。顯然,每年因此造成的損失,可達數百億美元。

許多公司承認,對自家人的駭客攻擊,他們仍沒有適合的偵測或預防措施。原因之一是,他們仍然拒絕承認這類