离职员工是经常被忽视的内部威胁的一个来源。根据Biscom的一项研究现显示，超过四分之一的离职员工在离职时窃取数据。无论他们这样做是出于疏忽还是恶意，这种情况只会对组织产生负面影响，包括失去竞争优势、因不遵守网络安全要求而受到处罚等。

好消息是，您可以发现这种危险的内部活动，并在员工带着公司数据离开之前缓解它。在本文中，我们将了解数据盗窃的主要原因和这种威胁的关键指标，以及有关防止离职员工窃取数据的最佳实践。

离职员工窃取数据的风险

得益于数字技术和远程办公，如今换工作比以往任何时候都更加容易。美国劳工统计局表示，2021年至2023年期间，劳动力流动率仍然很高。在这种环境中，重要的是要保持警惕，以保护组织免受离职员工窃取数据的风险。

当员工辞职时，他们通常会去同一行业的公司（甚至可能是您的直接竞争对手）担任类似的职位。虽然他们大多数时候只会带着自己的经验和个人物品离开，但有些员工也会顺走雇主的宝贵数据。

与此同时，Code42的《2022年数据暴露报告》显示，71%的组织对离职员工将哪些和/或多少敏感数据带到其他公司缺乏可视性。同一份报告强调，需要更好的网络安全方法来保护数据免受此类内部风险。

不幸的是，过去一年并没有任何改善的迹象。根据Code42的《2023年数据暴露报告》显示，数据暴露事件的数量在前一年增加了32%，受访者估计，数据泄露的平均修复成本高达1600万美元。

在离职员工窃取数据的情况下，您的组织可能面临的主要负面结果包括：

因违规行为而遭受罚款和处罚。敏感的财务数据、医疗数据和个人记录受到各种网络安全法规和标准的保护。如果员工成功窃取了这些数据，他们的雇主可能会面临外部审计和高额罚款。

机密外泄。当客户与组织签订保密协议（NDA）时，他们希望交易的细节是私密的。然而，离职的员工可能会向新雇主透露保密协议的细节，从而丧失客户的信任。

失去竞争优势。知识产权（IP）是离职员工最常窃取的数据类型之一。离职的员工可以把他们参与过的设计、软件代码和文档带到下一个工作场所。这样，您的竞争对手就可以发现并利用您的商业秘密。知识产权盗窃的另一种可能情况是打乱您的工作。如果员工在离开前窃取并删除项目信息，就会发生这种情况。

客户流失。对许多客户来说，有关数据和机密泄露的新闻都是危险信号。即便他们没有受到数据泄露的影响，客户也可能会对你的组织失去信任，并开始寻找其他合作伙伴。

正如您所看到的，一个离职的员工会对一个组织产生很大的影响。还应该指出的是，离职员工通常有强烈的动机和必备的知识来窃取数据。让我们来看看离职员工数据盗窃背后的主要原因。

员工窃取公司数据的原因

手脚不干净的离职员工的动机与常规的内部威胁行为者略有不同。以下是离职员工窃取数据的主要原： 

对IP的所有权感。当员工长期致力于某项知识产权时，他们便会开始觉得这是属于自己的知识产权。员工离开公司时可能会带着它，就像他们带着咖啡杯一样。

谷歌自动驾驶汽车工程师Anthony Levandowski的案件是最著名的数据盗窃案件之一。2021年初，Levandowski因从谷歌窃取自动驾驶汽车软件被指控，这些软件是他在被解雇前从事的工作。最终，法院判决他向谷歌赔偿1.79亿美元。

渴望获得更好的职位。当跳槽到同一行业的公司时，离职的员工可能会认为，向新公司提供竞争对手的机密数据将有助于他们获得更好的工作机会。或者，员工可能希望使用机密信息来创业。

2022年5月，雅虎研究科学家Qian Sang在获得竞争对手The Trade Desk的工作机会后不久，窃取了有关雅虎AdLearn产品的机密信息。据报道，Sang下载了多达57万页的雅虎知识产权到自己的个人设备上，意图利用这些信息在他的新职位上为自己谋利。

向雇主复仇。如果员工在被解雇前与雇主发生了冲突，他们可以利用自己的访问权限和对组织的了解进行报复。例如，员工可以创建后门，窃取有价值的数据或破坏关键流程。

这正是Century 21公司人力资源系统管理员Hector Navarro在被解雇前的做法。Hector创建了一个超级用户帐户，用于删除数据、更改其他用户的访问权限和编辑公司的工资政策。此举导致Century 21不得不重新制定其网络安全策略来封堵漏洞。而由于此次事故，他们还损失了5万多美元的潜在利润。

个人经济收益。员工可能不想追求自己的事业，而是想把窃取的数据卖给黑客或竞争对手。他们还可以利用窃取的个人、财务和医疗信息来欺骗人们。

这类事件似乎在特斯拉员工身上反复发生。特斯拉已经起诉了几名窃取公司数据并将其出售给其他组织的前员工。2021年，特斯拉对一名前质量保证工程师提起诉讼，指控他将公司后端软件的代码和文件复制到他的私人Dropbox账户中。

对数据安全的理解不足。离职员工窃取或破坏数据可能并非出于恶意，而是出于疏忽。他们可能会忘记哪些数据是机密的，或者不小心在个人设备或电子邮件帐户上留下了公司敏感数据的副本。

并非所有的内部威胁都是故意的，正如2022年8月微软数据泄露事件所证明的那样。一群员工不小心将登录凭证暴露在公司的GitHub存储库中，此举可能会授予对Azure服务器和其他关键系统的未经授权的访问权限。幸运的是，网络安全公司SpiderSilk及时发现了这一漏洞，微软也采取了积极措施，防止对企业和客户造成任何伤害。

所有这些事件都凸显了保护公司数据的重要性，以及与离职员工相关的风险。幸运的是，不管离职动机如何，离职员工通常都会留下他们内部活动的数字痕迹。有了合适的网络安全软件，你就能找到这些痕迹，阻止行为不端的员工。让我们看看哪些操作可以作为数据盗窃的危险信号。

数据盗窃的危险信号

调查任何可疑活动以防止数据被盗是很重要的。以下几个危险信号可能表明您的员工正在试图窃取数据：

插入未知的USB设备。将数据复制到USB闪存驱动器或个人智能手机是一种常规行为，可能不会引起网络安全人员的注意，特别是如果组织实施了自带设备（BYOD）策略。但是，USB设备可能是窃取数据或攻击组织的工具，因此必须仔细控制其使用。

无故访问敏感文件。随着员工离离职日期越来越近，他们可能会开始偏离平时的行为。例如，他们可能会开始访问他们以前从未或很少处理的文件，或者他们已经委托给其他员工的文件。这种行为的原因可能是想要窃取这些文件。

使用公共云存储服务。将公司数据上传到Dropbox或Google Drive等个人云存储服务是窃取数据的一种简单方法。但是，即使员工不打算窃取信息，将其保存到公共云也是一种危险的网络安全实践。

向私人账户发送带有附件的电子邮件。将工作数据发送到个人邮件通常是一种糟糕的网络安全实践。然而，有些员工这样做是为了能够在家做额外的工作。但离职员工通常不需要如此，因此他们将敏感数据发送到非公司账户是值得怀疑的。

创建新帐户。上述Century 21公司的黑客攻击就是一个完美的例子，说明为什么离职的员工永远不应该创建新的用户档案或修改访问权限。如果他们这么做了，很有可能是在试图创造一个后门，供以后利用。如果创建新的用户配置文件是员工职责的一部分，请验证该员工只创建所需的帐户。

删除文件和备份。在您的组织中工作了很长时间的员工知道您将关键数据和备份存储在哪里。对于被解雇的员工来说，删除这些数据或搞乱内部服务器和配置似乎是一个简单而有效的选择，以报复或掩盖他们的踪迹。

及时发现这些指标可以帮助您防止离职员工窃取数据。接下来，我们将研究如何防止员工窃取数据。

防止员工窃取数据的最佳实践

1. 实现零信任方法

零信任是一种不信任任何试图访问敏感资源的用户或设备的方法。为了获得访问权限，用户必须证明自己的身份和设备的有效性。之后，他们只能与他们任务所需的数据进行交互。如果离职员工试图窃取数据，这种方法可以减少攻击面。

2. 加强对离职员工的活动监控

如果被解雇的员工决定不空手而归，他们通常会在被解雇前开始行动。这就是加强员工活动监控的原因所在。通过使用专业软件，不仅可以实时监控用户活动并记录会话，还可以为可疑操作设置警报，在用户每次触发这些警报时获得通知，以便组织及时查看用户是否做了可疑的事情。

3. 使用用户和实体行为分析（UEBA）

UEBA工具使用机器学习和人工智能算法来创建正常员工行为的基线，并在员工行为异常时向安全人员发出警报。UEBA可以帮助组织检测到可能的内部攻击的最早阶段，并在员工出现不寻常行为的时候发出警报。

4. 实施USB设备管理

将数据复制到USB设备是窃取信息最简单的方法之一。USB设备管理解决方案通过检测用户何时连接可疑或未知的设备，控制对设备的访问并阻止设备，从而防止员工复制文件。

5. 审查访问权限和最近的活动

这种审查是离职程序的一部分。公司要求被解雇的员工在离职前确认没有违反网络安全规定。建议组织使用专业的工具，以审查记录的用户会话和访问权限，并自动生成用户活动报告来帮助组织进行此类审查。

6. 离职后及时撤销特权和凭据

当员工离开时，您需要删除该员工的个人账户、撤销访问权限，以及更改共享账户凭据，以防止员工窃取数据。手动完成这项工作需要做很多工作，建议使用特权访问管理工具来帮助完成大部分工作。

7. 提前计划好响应活动

当发现内部攻击时，您需要快速有效地采取行动，以防止员工在离职时窃取数据。分析您的事件响应选项，并决定在攻击之前使用哪些选项。

参考及来源：https://www.ekransystem.com/en/blog/data-theft-by-departing-employees