你能確定前職員沒有存取公司資料或系統的權限嗎?根據Kaspersky對中小企業對網絡威脅準備的統計,接近一半受訪者不能100%確定已離職員工不能從雲端或公司帳號存取資料。
前員工存取公司資料的風險
如果前員工仍能存取公司的服務或資訊系統,雇主往往想得比較複雜,例如是利用公司資料去展開他們自己的生意、帶到競爭對手手上和盜取公司顧客等等,不過作為對公司的傷害,以上可算不入流。如果前員工能存取含客戶個人資料的資料庫,他們便可以把資到洩露到公開的網域(以報復遭解雇),或在暗網上出售,直接破壞公司的聲譽,危害到客戶可能引致對方採取法律行動,又或者遭執法機構罰款(視乎所在地方的法例)。
沒有惡意的潛在問題
有些問題不是前員工有機心的後果,而是直接的資料外洩,那些前員工可能甚至忘記了他們能存取某些資源,但在某些地方如果被當局發現,有未經許可人士能存取機密資料,仍可能面對罰款的懲罰。而且即使前員工完全沒有惡意,他們也可能使用了弱的密碼組合或重複使用密碼,令攻擊者能夠破解他的密碼,間接形成資料外洩。
把風險降到最低
面對前員工可能導致的資料外洩,我們建議:
- 最可能減少能夠存取重要公司資料的人數
- 為公司資源設定嚴謹的規條,包括電郵、share folder和網上文件
- 保存存取記錄,記下誰人存取了甚麼資料,員工一旦離職便應該立即取消有關權限。
- 為創建和更改密碼提供清楚的指引
- 為員工定期提供網絡安全培訓
資料來源:Kaspersky Blog
