近日,一则“华为员工利用公司系统Bug越权访问机密数据被判刑”的消息在网络上热议。
华为员工易某调离岗位后未清理ERP登陆信息,利用bug越权访问,将所获得数据透露给华为供应商、上市公司金信诺获利,最终被判犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元,并将非法所得2万余元予以没收,上缴国库。
案件详细情况
2010年12月,易某从华为公司线缆物控部调任后,未按公司的要求将ERP账户线缆类编码物料价格的查询权限清理,至2017年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息。
2017年以后,易某发现ERP系统中的POL采购小程序存在bug漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式多次获取线缆物料的价格信息,并将非法获取的数据以短信、电话、发电子邮件的方式泄露给深圳金信诺。
经调查,2016年12月至2018年2月28日期间,易某多次通过公司邮箱将华为多个供应商共1183个线缆类编码物料的采购价格发送给金信诺公司,从而帮助金信诺公司在华为公司的招标项目中提高中标率。
大型企业采购一般要走正规招标流程,投标价对于参与投标企业来说是极为重要的商业机密,如果被竞争对手获取,则可能处于非常被动的不利位置。
在大数据时代下,企业中越权访问机密数据并牟利的行为时有发生,一些员工利用工作之便将掌握的客户信息或商业秘密泄露给他人,或出售内部访问权限给他人非法使用。
类似的内部人员作案,近几年国内已出现多次。据《财经》杂志报道显示,有80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。我们研究发现,在诸多信息买卖案件中经常能看见“内鬼”参与的身影,很多高管为此感到惊讶,技术上的投入防住了黑客却防不住“人心”。
那么,内部泄密的渠道都有哪些?
电子邮箱
利用电子邮件转移窃取的公司资料占所有信息窃取的八成以上。很多企业不装软驱、光驱、USB接口,却没有办法避免员工通过电子邮件的窃取信息。
离职员工
一般情况下,一个为企业服务半年以上的员工,离职后会和公司现有员工保持频繁的联系,并且对公司的资料和状况表现出极度的热情,或者从之前在职时期过往的资料中,找寻下载相关可用数据。
员工失误
由于员工疏忽大意将重要资料发送错误的对象,或操作失误,造成的数据泄露,这些带来的损失可能更甚于网络攻击。
如何有效防止商业秘密泄露?
1、通过制度、法律条款进行商业机密的保护。
通过与员工签订严格的企业商业机密保护合同,在企业内部建立商业机密文件使用的各种管理举措,可以对员工试图窃取商业机密的行为进行有效的威慑,可以在一定程度上有效防止商业机密的泄露;同时一旦商业机密泄露,也使得企业可以通过法律条款挽回损失,从而更进一步实现了商业机密的保护。
2、通过技术手段,对企业员工可能泄露的商业机密行为进行有效的控制,从而可以完全实现商业机密的全方位保护。这主要是通过对上述的企业泄密渠道,进行针对性地杜绝和防御。
