178 5 促資訊保安 [本文摘要]:美國信用卡發行商 Capital One Financial Corp. 遭「黑客」入 侵,盜取了該公司存儲在亞馬遜網絡服務(AWS)的雲計算服務上逾億信用卡客 戶和申請人的個人信息數據,後來被捕的涉嫌「黑客」,竟然是 AWS 的雲計 算服務部門的前僱員。 深入地看,有心或無心去損害公司的網絡保安、或洩露公司保密訊息的員工, 動機多種多樣,都有可能成為「內鬼」進行犯事,給公司網絡保安帶來巨大安 全風險與隱患。本文詳細分析了網絡保安的一項弱點—「內鬼」問題。作者 提出從制度上防範「內鬼」風險,包括在大方向上設立適當的使用權限制度, 以及制訂工作合規性的賞罰制度。此外,通過教育和灌輸自律的觀念價值,亦 為網絡保安不可或缺的支持要素。 美國第五大信用卡發行商 Capital One Financial Corp. 於 2024 年 7 月底遭「黑客」入 侵,盜取了該公司存儲在亞馬遜網絡服務(AWS)的雲計算服務上約 1.06 億信用卡客 戶和申請人的個人信息數據,令人觸目。 這名後來被捕的涉嫌「黑客」,竟然是 AWS 的雲計算服務部門前僱員佩齊·湯 普森 (Paige A. Thompson),擔任系統工程師。在 AWS 工作期間,她能夠訪問 存儲在雲 計算服務上的數據。據初步調查,她把大規模數據予取予攜。很顯然,作為該公司的系 統工程師,AWS 雲計算服務的系統應有所了解,這宗數據外洩事件,再次突顯了一個 網絡保安弱點—「內鬼」難防。 「防火牆」難防內鬼 事實上,對擁有大量客戶資料的機構,一旦進行了網絡數據處理,都會建構一道「防火 牆」,以防範外來「黑客」的網絡入侵,盜取數據。公司的防範重點,一般都著眼於外 部,甚至在設定系統或網絡時,傾向認為外人不可信,但內部人員可信,以致把重點放 在嚴防來自外部的網絡風險,因而如何防範來自內部可能導致數據外洩的風險因素,往 往受到忽略。但偏偏這個被忽略的部分絶對不宜掉以輕心。我們看到,由內部導致數據 外洩或數據處理失當對公司所造成的損傷,往往有「致命性」的後果。 網絡設使用權限防內鬼
RkJQdWJsaXNoZXIy NDk5Njg=