在技术领域里确实存在着令人不齿的“阴暗角落”,有别于众所周知的那些犯罪事件,删库、偷窃企业数据、非法买卖企业数据资产或安全工程师偷开网络后门等行为,看似操作简单,实则危害更大。这些犯罪行为背后的动机可能是因为利益,也可能纯粹是为了报复,但其带来的后果对所有相关人员来说往往都是灾难性的。
美国社会学专家指出,最近席卷各个行业的技术人员裁员现象加剧了这一趋势。CyberGRX公司首席技术官Frank Price表示:“规模再庞大的组织,只要出现一名审查或处理不当的员工就会给企业造成极大的伤害。”
而现实中,所谓的“内部破坏”甚至在员工被解雇之前就开始了,比如仅仅一个“公司将要裁员”的谣言就可能会造成恐慌和契机,某些意图不轨或“被逼无奈”的员工会做出对企业产生威胁的举措。WithSecure的技术研究员Tom Van de Wiele说:“如果管理不当,有三件事决定了离开组织的员工是否会变味:权限、动机和时机。”
数据显示,解雇技术员工可能会导致品牌受损、声誉受损和经济受损。根据DTEX Systems的《2023年内幕风险调查报告》,12%的员工在离开组织时会删除企业重要数据资产,这通常包括客户数据、交易记录、销售协议和其他重要文档,而最有可能做出这些事的,是那些拥有副业或想要寻找新工作的员工,因此这些重要数据很可能被他们带给了企业的竞争对手。
现在各行各业都在密切关注这些问题,但幸运的是,这种情况是可以预防的。以下是国内外安全专家在企业裁员时所提出的建议。
对于员工来说,被裁总是会让人起情绪的,这是正常的心理反应,DTEX Systems的安全情报主管Armaan Mahbod表示:“企业需要意识到,每位员工都应该得到足够的尊重和照顾,无论最终结果是积极的还是消极的,同理心都会起到很大的作用。”
为了确保在经济下行时期的公平性,组织在政策上应该优先考虑透明度、直接性和诚信。根据Price的说法:“当一个高度诚信的制度在运作时,可以更好地管理人员,因为每位受影响的员工在公平的机制下都能感受到尊重,这样他们也更愿意去了解‘自己公司为什么会裁员’或‘自己为什么会被裁’。”
Beyond Identity的基础设施副总裁Bob Burke对此表示,企业可以提供真正的支持,如咨询或职业指导服务,这也有助于最大限度地减少裁员后的影响,并同时能降低员工粗心或故意违反安全规定的可能性。
此外,同情和尊重不应该局限在被解雇的员工里,而是要延伸至企业的各个角落,正如Van de Wiele所说:“企业要学会倾听,要付出具体行动让员工觉得自己是被尊重的,这样员工才会心甘情愿为企业奋斗,而不是为了工作而工作。企业和员工之间不仅仅是劳动关系,更重要的是情感关系。”
Van de Wiele表示,企业应该优先考虑所有员工的福祉,在企业内部建立起具备同理心和尊重的文化,这样即使在充满挑战的时期,企业也可以拥有积极、公平、互相支持的工作环境。
Burke说,如果人力资源部门、财务专家、内部IT、CISO和其他利益相关者能共同协作,那员工的离职过程就会顺利得多,其中CISO的角色尤为重要,因为它们对组织的整体安全发挥着关键作用。
Price给出的建议是:“企业要确保安全专业人员处于‘裁员环节’的核心位置,并为之后的所有裁员行动制定计划。CISO所带领的安全团队有助于企业预防心怀不满的工程师或销售人员,比如能让被裁者意识到别再继续登录GitHub或Salesforce,因为这可能会对企业造成损失,许多被解雇的员工都知晓一定的企业内幕,他们甚至会利用权限继续访问企业软件和系统。”
Price补充道,如果没有适当的访问控制,恶意特权的升级是难以察觉的,而如果相关的时限、资源和协议都得到实施和遵守,权限和访问问题就可以很好地被处理。但不得不说的是,在大规模裁员的情况下,这一过程往往会变得混乱。
Mahbod对此建议:“如果组织能提前做好准备并制定战略,那混乱的可能性一定会被大大降低。企业可以成立一个特定的委员会,在委员会里尽可能提前通知即将到来的裁员,这样就能为潜在的后果做好准备。”
当员工突然离职时,数据或代码的丢失会给组织的安全态势带来重大影响。虽然大多数员工并不认为自己是网络安全风险中的一部分,但DTEX Systems的一项研究表明,几乎所有组织里,约50%的人都会从他们参与的项目中保存相关机密和重要数据。Mahbod表示,这些员工之所以会这么做,是为了以防万一自己有一天会离开公司,而更令人担忧的是,这些员工中有12%的人,甚至能于从未参与过的项目中获取数据。
Mahbod补充道:“企业应该意识到,真正的风险来自于企业自身的防火墙,数据安全的未来是以人为中心的,而不是以数据为中心的。因此,业务部门应监控数据丢失活动,并实施策略以限制组织内外不必要的数据流通,比如对上传到个人邮件、共享网站或USB端口的文件实施设备封锁,以防止泄密事件的发生。”
Palo Alto Networks英国企业系统工程总监Amit Tailor表示:“这种方法也有助于解决‘同事风险’。那些心怀不满的员工可能会通过同事之间的关系来获得额外的数据访问权限,被他们利用的同事或许并不知道始作俑者正面临离职。”
Tailor补充道,这种情况不但会在数字访问上发生,物理访问也是一样。比如离职员工通过同事知晓了办公室布局或进入实体设施的方法,他们将很有可能一路无阻,因为保安和其他员工并不知晓具体情况,很可能认为这是理所当然的事。
Price表示:“黑客经常会攻击那些正在裁员的公司,他们会试图破坏尚未被暂停的休眠账户,或者拦截正在返回公司总部的硬件。这就是为什么认真清点所有设备、监控,正确归档旧帐户,验证所有访问、设备等操作至关重要了,当然还包括查验‘攻击表面区域是否得到充分解决’。”
如果组织能够轻松做到“立即撤销某人对公司资产的访问权限”,则可以降低帐户和设备被劫持的风险。Tailor说,拥有单一的身份系统可使企业撤销或禁用某个账户或所有公司资源。
Endor Labs首席技术官兼联合创始人Dimitri Stiliadis补充道,在所有服务中,全面采用单点登录(SSO)应该是企业的首要任务,他强调:“使用单一登录机制所无法撤销的静态凭据和特权访问,会是企业所面临的最大风险。而在软件供应链安全方面,SSO和供应链管理(SCM)工具、CI/CD管道等开发服务的适当集成,是必不可少的保障措施。”
Mahbod说:“在压力越来越大的时代背景下,不仅仅是被解雇的员工,每个人都有可能犯错。IT环境的不确定性和工作压力会分散个人的注意力,使他们无法像往常一样工作,因此无意间造成的安全漏洞就会越来越多。”
Mahbod表示,作为安全人员,要了解组织最薄弱的安全点是什么,对此需要积极研究解决方案,思考这些安全点可能会从哪些路劲上转化为威胁,同时,意识、教育和政策上的变化会有助于解决这些风险,因此需要多关注时事。
Price说:“安全负责人应该参与每一次关于业务连续性的会议,当然更好的情况是他们能带头引导话题。业务连续性计划应该包括确定单个故障点和其他相关信息,以便在裁员之前进行审查。我们要知道的是,如果有员工意外离职,缺乏良好的业务连续性流程会给企业造成损失,数据的价值离不开业务连续性。”
Burke说:“企业可采取分阶段离职的方法,这样对员工和企业都有好处。一方面,人力资源部可有更多的时间来处理离职和交接,另一方面,业务连续性也能得到更好的保护。被解雇的员工可以结束工作,移交任务,传递关键信息,同时也能让安全团队有更多时间审查所有访问,并在必要的情况下进行撤销。”
但是,Burke也提出了,无论分阶段离职过程进行得多么顺利,关键知识或专业知识总是会流失,根据他的说法,企业可以通过交叉式培训来缓解这种情况,比如尽可能将其作为一种常规做法,以创造冗余,减少孤立,要求团队提供有关流程的最新文档和运行手册,以确保每个需要的人都能获得关键知识。
Tailor说:“任何系统或业务功能不能只交托于一人。当某员工离开组织时,他所负责的业务里应该还有其他人可访问相关业务的信息、系统和数据,甚至在某些情况下,需要多人参与进去,访问权限应该根据敏感性或功能而划分。当然,这样也可能会增加额外的人员风险,但无论如何都不能只让一人掌控权限。”
对于技术人员被裁会给企业带来哪些安全隐患,安全人员该如何防范这些隐患,企业又该为此做些什么,国内安全专家如此建议。
知乎安全专家小洽表示,技术人员被裁会给企业带来以下安全隐患:
1.数据泄露:被裁的技术人员可能会利用他们在企业内部的权限,窃取敏感数据或者将数据泄露给竞争对手。
2.系统漏洞:被裁的技术人员可能会利用他们在企业内部的权限,故意留下系统漏洞,以便在未来利用这些漏洞进行攻击。
3.知识产权泄露:被裁的技术人员可能会将企业的知识产权泄露给竞争对手,从而给企业带来损失。
为了防范这些安全隐患,小洽建议,企业可以采取以下措施:
1. 及时收回权限:企业应该及时收回被裁员工的权限,包括系统权限、网络权限、物理权限等,以避免他们利用这些权限进行攻击或者窃取数据。
2. 监控员工活动:企业可以通过监控员工的网络活动、电子邮件、即时通讯等方式,及时发现员工的异常行为,以便及时采取措施。
3. 建立安全文化:企业应该建立安全文化,让员工意识到安全的重要性,并且加强对员工的安全培训,以提高员工的安全意识和技能。
4. 加强数据保护:企业应该加强对敏感数据的保护,包括加密、备份、监控等措施,以避免数据泄露。
5. 建立离职流程:企业应该建立离职流程,包括收回权限、清理数据、交接工作等,以确保员工离职后不会对企业造成安全隐患。
综上所述,小洽提出,企业应该采取多种措施,以防范技术人员被裁后对企业的安全造成影响。同时,企业也应该建立健全的安全管理体系,加强对员工的安全培训和管理,以提高企业的安全水平。
而知乎安全专家“域星网络安全”指出,当网络安全技术人员被裁员时,可能会带来以下安全隐患:
1、安全漏洞未及时发现和修复:网络安全技术人员是企业或组织的安全防线,他们负责发现和修复系统中的安全漏洞。如果他们被裁员,可能会导致安全漏洞未及时发现和修复,从而给黑客攻击留下机会。
2、安全策略未及时更新和执行:网络安全技术人员负责制定和执行企业或组织的安全策略,包括密码策略、访问控制策略等。如果他们被裁员,可能会导致安全策略未及时更新和执行,从而增加安全风险。
3、机密信息泄露:网络安全技术人员通常拥有访问敏感信息的权限,如果他们被裁员后未及时撤销权限,可能会导致机密信息泄露。
4、安全培训和意识不足:网络安全技术人员负责对企业或组织的员工进行安全培训和意识教育,提高员工的安全意识和防范能力。如果他们被裁员,可能会导致安全培训和意识不足,从而增加安全风险。
5、安全管理混乱:网络安全技术人员负责安全管理和监控,如果他们被裁员,可能会导致安全管理混乱,从而增加安全风险。
因此,“域星网络安全”表示,企业或组织应该重视网络安全人员的作用,合理配置安全人员的数量和职责,确保网络安全的稳定和可靠。
友邦资讯科技安全专家杜建荣表示,技术人员被裁有可能导致员工心生怨恨把企业的内部机密信息或自己的开发代码带出公司,甚至犯下更恶劣的删库/修改系统密码等行为而导致业务中断。因此,企业可以在员工培训与教育中引用其他企业的案例去声明强调此类事件的恶果,虽然员工达成了复仇但最终等待他的会是牢狱之灾,这是个双输的局面,企业需要时刻提醒员工注意此事。另外还可以为每位员工入职时签署好充分的保密协议,让员工清楚自己的义务。在裁员员工时,注意及时迅速的解除员工的权限,以及利用DLP等终端安全工具监控员工的行为。
浙江移动安全专家张曾油表示,技术人员被裁会带来以下安全隐患:
1、员工存在报复心里,关键资产可能会被植入后门。
2、安全漏洞未及时发现和修复:网络安全技术人员是企业或组织的安全防线,他们负责发现和修复系统中的安全漏洞。如果他们被裁员,可能会导致安全漏洞未及时发现和修复,从而给黑客攻击留下机会。
3、安全策略未及时更新和执行:网络安全技术人员负责制定和执行企业或组织的安全策略,包括密码策略、访问控制策略等。如果他们被裁员,可能会导致安全策略未及时更新和执行,从而增加安全风险。
4、机密信息泄露:网络安全技术人员通常拥有访问敏感信息的权限,如果他们被裁员后未及时撤销权限,可能会导致机密信息泄露。
5、安全培训和意识不足:网络安全技术人员负责对企业或组织的员工进行安全培训和意识教育,提高员工的安全意识和防范能力。如果他们被裁员,可能会导致安全培训和意识不足,从而增加安全风险。
6、安全管理混乱:网络安全技术人员负责安全管理和监控,如果他们被裁员,可能会导致安全管理混乱,从而增加安全风险。
因此,张曾油建议:
1、及时全盘扫描是否存在相应病毒后门。
2、在安全可行的前提下,及时更新系统补丁,修复相应漏洞。
3、检查安全策略是否得当,定期更新策略。
4、对所有人员的访问权限进行重新梳理,检查权限级别,对已离职员工的权限及时撤除。
5、定期对全体员工进行安全意识培养,提供员工的安全意识和防范能力。
6、检查已有的管理制度,确保安全管理制度符合组织要求,加强安全管理和监控。
除了在安全意识、安全工具和流程上需要制定相关的方案和培训外,最主要的还是企业文化,因为相较于外部威胁,企业内部的员工最初和企业之间并不是相对的立场,而是站在一条线上互利双赢的关系,所以企业只要重视人文环境,能够给予员工足够的尊重和理解,那员工又怎么会恩将仇报?“未有上好仁而下不好义者也”,所谓命运共同体,大抵就是让人深谙其中“将心比心”的精神了。
《The hidden security risks in tech layoffs and how to mitigate them》
https://www.zhihu.com/question/599772353
原文始发于微信公众号(安在):如何预防员工“删库跑路”?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论