管控疏失 離職員工竊資料值5百萬

日前刑事警察局偵九隊查獲一起離職員工，竊取舊公司現任員工帳號、密碼，藉此入侵公司資料庫，並取得舊公司競標國外廠商的訂單，獲利初估超過500萬元。刑事警察局偵九隊表示，將以妨害電腦使用移送該名嫌犯。資安專家建議，身分認證和存取控管還是根本的預防之道，不過，後續管理政策上的執行與落實，則攸關預防之道能否徹底的關鍵所在。

刑事警察局於今年3月接獲企業報案，有不明的人士入侵該公司電腦，竊取重要機密資料。偵九隊一組偵察正林昔宏表示，根據追蹤分析結果，發現這個不正常帳號使用者，是已經離職的陳姓員工，盜用接任其工作同仁的帳號、密碼，入侵公司資料庫。他繼之指出，該名離職陳姓員工，因為離職後便自行成立一家與舊公司性質雷同的電子商務公司，為求獲利、更具有市場競爭力，利用接任其工作同仁的帳號密碼入侵公司資料庫，除了竊取機密資料外，更取得舊公司國外競標的訂單，「搶客」販售彈簧機械商品。根據偵九隊查獲的資料顯示，這樣的手法高達5次，獲利總值超過500萬元。

刑事局偵九隊此次查獲的案件，可說是企業機密資料外洩的冰山一角，光是今年上半年，便陸續傳出中華電信、台新銀行有不肖員工外洩客戶資料牟利。臺灣CA（組合國際）技術顧問林宏嘉表示，企業一般都有利用微軟的目錄服務（AD）做基本的帳號、密碼管控，但早在2005年就已經有國外研究數據顯示，未知的、單一帳號密碼，已經可以在16小時內被破解，這也顯示利用AD這樣的身分控管流程，成效實在不彰。

從偵九隊此次查獲的案件看來，該公司雖然有做身分控管，因為是離職員工盜用合法員工的帳號、密碼，因此更難預防。計畫性的離職員工，因為經過長時間策畫，加上熟知企業整個作息安全控管流程，並可佐以社交工程手法，取得合法使用權限的帳號、密碼，都讓企業在預防機密資料外洩上，倍感無力。

林宏嘉認為，「存取控管可以預防已知使用者，在合法授權下的非法濫用。」不論是檢視資料存取記錄，或者是依據不同資料的機密程度，設定資料回溯的時間，甚至，進一步追蹤員工帳號、密碼是否在合法時間內被使用，例如，員工出差或者是假日時，是否出現不正常的資料存取。上述作法都有利企業有效管控資料外洩。而「持續性的行為監控鑑識，加上記錄檔的交叉比對，可以強化與佐證事件的可信度。」林宏嘉說。文⊙黃彥棻