179 5 促資訊保安 記得 2018 年爆發的「劍橋分析公司(Cambridge Analytica)事件」,該公司員工威利 (Christopher Wylie)自稱因為良心不安,打破了離職保密協定,向英國的衛報(The Guardian)揭露 Cambridge Analytica 如何非法取得臉書(Facebook)5,000 萬個用 戶資料,並分析這些數據資料後,掌握了龐大用戶群的行為和價值偏好,於是在 2016 年美國總統大選期間,針對這些用戶選民的偏好,在各社群媒體投放各式「假新聞」和 個人化宣傳廣告,以影響中間選民的投票意向。事件被揭露後,劍橋分析公司當然成為 眾矢之的,最終也擺脫不了走上倒閉的厄運。 可以看到,在網絡世界,多宗大規模個人資料外洩和數據處理失當而導致公司損失慘重 的個案,很多都是來自內部的風險因素。 須設立適當使用權限 應對內部員工的洩露信息資料或數據處理失當行為,機構可以通過設立使用權限來加以 制約。然而,一些企業對此並不積極,因為此舉會增加系統設計的成本,而且這樣做, 難免需要對機構內部所有員工作出「分層」,造成「有權限者」和「無權限者」之間的 相互信任問題,有機會損害到公司上下一心的整體工作團結性,甚至不排除引起公司出 現一些「辦公室政治」。 事實上,不少銀行的客戶私隱資料外洩造成的「災難性」事故,往往是內部員工的「傑作」。 討論至此,不妨看看 1995 年爆發的英國霸菱銀行(Barings Bank)倒閉事件。 該行在 新加坡設立分行,計劃大展拳腳,並派遣當時年僅 26 歲的交易員李森(Nick Leeson) 到新加坡分行,擔任期貨部門的首席交易員,專責期貨與期權的 交易。 李森可能急於表現自己的工作能力,從事了一些未得銀行授權的交易,並從 1992 年便 開始隱瞞投資虧損。由於李森熟悉電腦,他投資成功獲利所得,便記在霸 菱銀行的投資 交易專項帳戶中,讓該行高層對他的投資成果一目了然,得到該行「投資明星」之譽; 但對於投資失利的損失,他則轉記到一個試驗帳戶(Test Account)中—一個模擬投 資的帳戶裡,起初的確「神不知、鬼不覺」。 霸菱銀行倒閉之路 1994 年底,李森預測日本的股票價格與利率水平可望因經濟復蘇而回升,於是 在新加坡 及日本期貨交易所大舉買入日經 225 指數期貨,並沽空日本債券期 貨。誰知「人算不如天 算」。1995 年 1 月 17 日,日本發生阪神大地震,重創日本經濟,連累日本股市大跌,
RkJQdWJsaXNoZXIy NDk5Njg=