近年来,组织内部威胁导致泄密的情况已经越来越频繁。这在执法部门通报的典型案例中最为常见的案件,安全意识的缺失导致企业应有的安全管控制度、安全措施的落实情况差强人意。内部员工因利诱而盗取、贩卖、共享敏感数据、以及内部核心资料变得易如反掌,而事后追溯和定责困难,造成的损失也无法挽回。
内部泄密是企业数据泄露的根源之一,内部员工可能有意或无意的不当行为,是造成数据泄露的关键原因。
案例一:非法窃取个人信息4万余条
2022年6、7月份,被告人朱某某指使被告人李某某自就职的公司秘密下载客户信息、专家信息提供给朱某某,共计9580条。2022年10月份至2023年1月份,李某某又从该公司系统秘密下载专家个人信息37509条,准备由其同他人合伙经营的科技公司使用。
法院经审理,以侵犯公民个人信息罪,判处被告人朱某某有期徒刑六个月,李某某有期徒刑二年三个月,并处罚金人民币三千元及人民币四千元。
案例二:利用网络漏洞窃取订单信息
自2024年5月,被告人唐某某为获利,唆使他人利用计算机信息技术手段,窃取电子商务公司服务器存储的包含客户姓名、手机号码、订单时间、地址、订单详情等内容的数据17131条,再将信息数据批量卖给从事个人信息买卖业务的好友。
法院经审理,以被告人唐某某犯侵犯公民个人信息罪,判处有期徒刑六个月,并处罚金人民币二千元。
研究显示,企业组织文件泄露事件中有87%是由内部员工造成的。内部员工尤其是肩负重要职位的涉密人员,通常是机构中最先得到及获得最多价值数据的。不法者一般会通过社会工程学攻击、利益诱惑、协助入侵等多种方式获得数据。
1、泄露商业秘密:许多侵犯商业秘密的案件中都有“内鬼”的身影,涉及软件源代码的侵犯著作权案件也不例外。
2、利用职务便利窃取:企业内部人员通过“蚂蚁搬家式”的手段,分段式窃取公司数据资产。
3、出售客户隐私:公民个人信息泄露案件中,不少是公司内部人员作案,他们将海量信息以极低价格贱卖,然后层层转手、反复倒卖,形成黑色产业链。
4、其他违法犯罪行为:包括出卖企业商业秘密、软件代码、内幕交易信息等,以及出售客户隐私等侵犯社会公众利益的行为也开始高频出现。
数据泄露直接关联经济损失,尤其是对于掌握大量用户数据的公司。泄露事件发生后, 企业不仅要承担高昂的数据恢复费用,还可能面临法律诉讼、罚款和赔款等,给企业带来了巨大的经济损失和声誉损失。信息泄露事件对企业造成的经济损失和长远影响将不可估量。
数据已成为企业最重要的资产之一,保护这些数据的安全不仅是对客户负责,也是对企业自身负责。
因此,企业必须采取更加严格的数据保护措施,包括但不限于加强数据加密、定期进行安全审计和漏洞扫描、以及建立健全的应急响应机制,才能有效避免因系统漏洞、软件漏洞和人员管理缺失等安全问题,导致的敏感数据泄露。