摘要：一个流氓IT员工造成的损失要远比一群黑客攻击造成的损失大的多。下面我们将为大家介绍一下以下三家公司是如何受害的。

第1页:不仅是盗版软件，还有更糟糕的 第2页:给公司带来的损失

　　
　　但是当公司决定将公司的IT动作外包给印度时，Sally并没有感到有什么异常。尽管公司并没有正常将这一决定告之IT员工，但是这对于内部IT员工来说，这意味着他们中的大多数人都要走人。
　　
　　Sally想对此进行报复。在正式通知被解雇之前，她安装了一个逻辑炸弹，一旦她被解雇整个服务器将崩溃。
　　
　　最初，公司没有发现什么原因。他们打开了备份服务器，但是Sally已经在这些备份服务器上也安装了逻辑炸弹，莫名其妙的崩溃导致公司蒙受了重大损失。Ponemon称：“用心险恶的雇员可以给公司带来巨大损失，当时很难立即发现，事后也难以追踪。”
　　
　　最终，他们发现了Sally的蓄意破坏行为，并约见了她。作为交换条件，Sally同意解决系统问题，公司不对其进行起诉。此外，Sally还同意不将这一事件公之于众。“他们不想让她上电视节目，让她在节目上大谈如何打断一家财富500强公司的脊梁骨的。”
　　
　　给公司带来的损失
　　
　　这一事件估计给该公司造成了约700万美元的损失，其中包括500万美元的机会成本(宕机、业务中断，以及客户潜在的损失)和200万美元的雇佣调查与安全顾问费用。
　　
　　防范措施
　　
　　公司在哪里做错了呢？首先，这一事件是一起典型的“特权扩散”案例。当把权力给予个人去解决执行任务后没有及时回收。
　　
　　第二，公司的文化导致无法将职责分开，并且对IT员工缺乏监管。由于这方面的缺失，管理层错过了一个重要的警告。在事件发生后，公司发现Sally在过去的三年内“遗失”了11台笔记本电脑。公司服务台人员已经发现了这一问题，但是她们并没有向管理层报告这一问题，部分原因是顾忌Sally在公司中的地位。没有人知道她把这些笔记本电脑做什么，也许只是她粗心造成的。对此，Ponemon指出：“如果你是一名系统管理员，这本身就是一个问题。”
　　
　　第三，外包决定导致公司内部气氛紧张，这时公司应当更为警惕，对任何可能会对此不满的员工进行防范。
　　
　　Ponemon称，即使你没有向员工透露任何消息，你也不应当认为员工会对此不知情。他称：“在公司首席执行官签订外包合同的瞬间，公司的普通员工就会知道。如果你没有监督你的IT员工，那么应当马上开始目监督他们。”最好的办法是，马上公开宣布你已经开始监督他们。
　　
　　据CERT统计，许多破坏事件都是那么心怀不满的员工进行报复造成的。这种报复事件通常都是灯下黑，正如下面我们为大家介绍的案例那样。
　　
　　解雇程序大错
　　
　　当这家财富500强公司升级了他们的安全系统后，他们有了一个惊人的发现。一名任职至少8年的高级系统管理员在公司的电子商务网站上偷偷加了一个网页。安全服务提供商Solutionary公司策略安全主管JonHeimerl称，如果你在该公司的URL后输入一串特定字符，你将会进入一个网页。在这个网页内，这名名叫Phil的管理员正在出售假冒的卫星电视设备。
　　
　　好消息是升级的安全系统抓住了这位不法之徒。坏消息是解雇程序上的瑕疵让这家伙有机会继续作恶。
　　
　　身为高科技设备零售商，这家公司希望尽快赶走Phil，删除非法网页，因为他们担心受到被假冒的卫星设备制造商的起诉。但是在Phil的经理和安全员工走进Phil的办公室之前，一名人力资源代表打电话告诉Phil让他待在办公室里。Heimerl不能确定这名人力资源代表当时是怎么说的，但是这一举动让Phil察觉到已经东窗事发。
　　
　　Phil迅速登入公司的网络，删除了公司的密钥环。Heimerl称：“正在Phil删除密钥环时，安全员工和经理进入他的办公室里。他们说‘立即停止工作，离开电脑’。”但是这一切已经为时已晚。
　　
　　该文件存储有公司全部的密钥，包括托管密钥，该密钥是一个允许公司破译所有雇员文件的超级密钥。大多数员工将他们的密钥保存在他们的本地系统上。不过，这一密钥环存储有公司唯一的超级密钥和大约25名员工的密钥，他们大多数都是法律与合同部门的员工。这意味着在公司开始使用密钥的三年内，所有员工的加密文件都永远无法被破译，这就等同于丢失了这些文件。
　　
　　给公司带来的损失
　　
　　Heimerl无法计算出这一事件究竟给公司带来了多少损失，但是他估计密钥环的损失相当于18个人-年的工作量，公司需要创建那些无法被解密的文件，花时间重新收集文稿、旧电子邮件和其它未被加密的文档。
　　
　　防范措施
　　
　　这一案例的重点是在发现流氓网站后如何处理。Heimerl称，公司在处理过程中犯了两个致命的错误。他们应当立即关闭Phil的访问权，公司经理没有保护好公司的关键信息。(具有讽刺意味的是，公司认为密钥环极为敏感所以没有制作拷贝。)
　　
　　最好的办法是进行多重防范
　　
　　在这些案例中，没有哪一个单一的防范措施能够保护你免受流氓IT员工的侵害。你可能拥有很好的技术防范措施，如侦测到Phil非法网站的多层安全系统，但是人力资源的一个小错误却导致了灾难性的后果。员工的行为和性格都应当被视为危险信号，如Sally遗失笔记本电脑。
　　
　　Cappelli称，将技术防范与人员监督结合起来才能提供最佳的保护。
　　
　　目前还很难说服大多数公司这样做。许多执行官们相信这类问题仅通过技术就可以解决。其中部分原因是许多监管工具厂商和安全软件厂商宣称他们的工具可以提供这方面的保护。她称：“我们正在想办法让公司高管们明白这不仅仅是一个IT问题。”
　　
　　目前许多受害公司根本不愿意公布这些事件。即便越来越多的公司公布这类事件的细节，大多数首席执行官们也会认为这些事件不会发生在他们自己身上，直到悲剧在他们身上上演后才相信。
　　
　　责任编辑：Honey