181 5 促資訊保安 公司需要訂出清晰的工作程序和誘因,去讓員工遵守,立足於工作正軌,並設立賞罰制 度,強化員工合規工作的積極性。 誠然,員工跟公司有齟齬,原因的確多種多樣,可以是出於跟同事和上司相處不和而引 起,也可以純粹是員工的職業道德出了問題,對挪用公司資源毫無悔吝之心,甚至認為 是合理行為,因此,每一家公司,因應不同的國家文化、公司文化以至當地群體行為的 道德價值,採取相應措施,從制度上去防範「內鬼」風險,大方向包括一、設立適當的 使用權限制度;二、設立工作合規性的賞罰制度。 教育與自律不可或缺 總的來說,在今日網絡世界,由於資訊科技發展日新月異,因而存在不少業務經營的 「灰色」地帶。然而,合規經營和工作,不僅公司的員工需要自律,公司的營運也需要 遵守和實踐。在美國,一些「內鬼」事件,員工之所以自甘成為「內鬼」,去揭露公司 的秘密信息,不合規運作,如震驚國際的斯諾登(Edward Snowden)事件。這位前美 國中央情報局職員,美國國家安全局外包 技術員,在 2013 年 6 月將美國國家安全局關 於稜鏡計劃監聽專案的秘密文件,披露給英國《衛報》和美國《華盛頓郵報》,迄今尚 遭美國和英國通緝。去年的「劍橋分析公司事件」,都牽涉到廣義的網絡合規性行為本 質。員工「看不過眼」所屬機構的不合規經營行為作出「反噬」一口。 從資訊保安的角度看,「斯諾登事件」或「劍橋分析公司事件」,都是出於「內鬼」的事 故,只不過這兩樁「內鬼」行為是以「正義」的價值去支撐。因此,關於網絡保安的 「內鬼」風險,公司除了確立適當的使用權限和員工合規工作行為的賞罰制度外,教育和 自律無疑也是網絡保安不可或缺的支持要素。 [後文簡介]—〈警惕「友朋間信息披露」風險〉:劍橋分析公司(Cambridge Analytica)利用臉書(Facebook)平台上的漏洞,未經許可收集了逾5,000 萬臉書 用戶的信息資料。事件背後,牽涉一個網絡新現象,作者稱之為「友朋間信息披露」 (Peer-Disclosure)。本文對「友朋間訊息披露」對其他人造成的負面性外部效應 (Negative Externality)和正面性外部效應(Positive Externality)進行深入分析。 在網絡上個人信息資料的發布、互相傳輸,當缺乏安全警惕性,隨意在社交平台上載自 己的生活訊息,往往出現「友朋間信息披露」的風險,成為個人私隱保護的巨大漏洞。 原刊《信報財經新聞》2019 年 8 月 26 日;2025 年 6 月重閱修訂
RkJQdWJsaXNoZXIy NDk5Njg=