180 5 促資訊保安 使李森的交易飽受重創,損失逾 2 億美元。他試圖力挽狂瀾,一方面竄改交易紀錄, 向霸菱銀行掩飾虧損;另一方面卻進行風險更高的投資交易,並採取空頭跨部位(short straddle)的期權投資策略,投資細節不必細表,但結果虧損的泥潭反而進一步深陷, 最後,銀行發現李森的交易所累積的損失高達 14 億美元,是銀行資本額的兩倍,出現資 不抵債,導致銀行倒閉。最後,以 1 英鎊的象徵價格,賣給荷蘭 ING 集團。 對於霸菱銀行倒閉事件,很多分析認為此事屬於未獲銀行授權的「不合法」交易。但嚴 格來說,其實是一樁資訊保安事件。由於銀行當時設計的電腦系統,容許李森能夠同 時取用多個帳戶,讓他隨時把虧損在帳戶間進行「挪移」,這種缺乏權限使用的系統設 計,最終造成無窮遺恨。 無心之失與有心之害 這類資訊系統或網絡保安的「內鬼」問題,如何防範,的確令人費煞思量。筆者接觸過 的案例,亦曾發現有機構員工,盜取了公司的機密資料,售賣給公司的競爭對手。這些 「內鬼」網絡保安風險,企業有必要加以注視,做法包括檢視電腦或網絡系統可能出現的 「內鬼」風險,設立適當權限使用的制度。特別指出,機構與員工之間在進行網絡保安或 信息保護上的「誘因」(incentive)往往不一致。公司的目的,著眼盈利之餘,還會考 量和防範對公司傷害的風險。在風險問題上,公司承受的風險遠高於員工,兩者顯然不 成比例。因此,公司高層必須明白,從員工的角度看,他們不一定有強烈的誘因,去減 低網絡保安風險或力保客戶資料不外洩。 當然,員工在「有心」或「無心」的情況下,釀成「內鬼」事故。若員工為無 心之失, 或可透過「教育」,使員工明白正確處理數據的方法和程序。若員工「有心」去「出 賣」公司的利益,則公司必須明白「有心人」何以作出破壞公 司網絡保安或惡意洩露公 司客戶資料的可能性,例如,出於憎恨?—也許員 工覺得所得薪酬偏低、公司對他不 公平、受到無理責罵等 ...... 出於報復之心。 另一方面,有時候,員工也非出於報復心,而是想在工作上「走捷徑」,讓自 己的工作 快一點、或輕鬆一點完成,盡快放下工作責任,因而做出公司所不容 許的「不合法」的 網絡內部入侵行為。 合規工作行為賞罰制度 事實上,有心去損害公司網絡保安或洩露公司保密訊息的員工,動機多種多樣,如員 工與上司不和,都有成為「內鬼」的犯事的動機。因此,對於來自內部的保安風險,
RkJQdWJsaXNoZXIy NDk5Njg=