IT行業中的六個骯髒祕密

　　IT專業人士往往若無其事地傳播灰色謊言、玩弄技術業務的黑色權謀

　　IT專業人士往往對問題背後的真正由來了如指掌——有時候，他們本人就是造成麻煩的罪魁禍首。

　　我們向讀者朋友徵集在工作中遇到過的最骯髒的IT祕聞——那些來自灰色地帶的謊言以及其他人根本意識不到的技術陰暗面。整理工作結束後，我們將這些“祕密”交給相關領域的專家，讓他們對其進行分析。其中一部分得到了專家的共鳴，但另一些則未受肯定。

　　系統管理員手中的權力足以成為CIO最恐怖的噩夢？IT員工仍然拿走企業裝置？我們儲存在雲端的資料是否真會不翼而飛？技術支援服務開出的價碼算不算高得離譜？

　　通過今天的文章，我們將共同瞭解當事者與相關專家們的觀點。

　　IT骯髒祕密第一條：系統管理員抓著公司的小辮子

　　IT這隻黃鼠狼居然成了資料這隻肥雞的守門者

　　任何一位關注過愛德華•斯諾登其人其事的朋友肯定已經瞭解到，一位系統管理員能夠造成怎樣的破壞。但即使是IT人士自己可能也無法想象，不受約束的管理員究竟擁有何等驚人的權力與危害性。

　　“對於IT人士而言，根本不存在祕密這回事，”安全服務託管供應商Network Box USA公司CTO Pierluigi Stella表示。“我可以在自己的防火牆上植入探測工具，從而掌握特定計算機上進進出出的任何一個資料包。我能夠看到人們在訊息當中寫下哪些內容、他們訪問了哪些網際網路站、在Facebook上寫了些什麼。事實上，道德是惟一一種能夠約束IT人士不至於誤用或者濫用這種權力的因素。IT人士完全就是存在於我們身邊的國安局的縮影。

　　這種情況相當常見，甚至大部分CIO都已經意識到了這一點，資料保護企業SafeNet公司首席戰略官Tsion Gonen指出。

　　“我估計九成以上的企業都面臨著這樣的危機 ，”他表示。“企業安全的可靠性與IT管理員的可信程度密切相關。我們很難準確弄清到底有多少系統管理員正在濫用自己手中的訪問許可權——但可以肯定的是，數量已經多到足以佔據每星期的報紙頭條。最可怕的是，安全風險往往來自那些負責為企業員工分配訪問許可權的傢伙。”

　　資料治理方案供應商Varonis公司副總裁David Gibson也認為，管理員一般確實有能力在神不知鬼不覺的情況下進行資料訪問，但他提出了相對比較具體的比例數字——50%。他補充稱，這樣的問題並不只發生在管理員身上——大部分使用者都有能力訪問超出工作範圍之外的更多資料。

　　他表示，要想解決這一難題，方案可以歸納為兩個方面：利用“最低許可權”模式削弱員工的訪問能力；持續對資料訪問者進行監控。

　　“企業需要有能力檢視哪些員工訪問了什麼樣的資料，這些資料歸屬於誰以及誰已經訪問了其中的哪些檔案，”他表示。“以此為基礎，IT部門將能夠與資料所有者直接接觸，從而在削減許可權與保持可接受的使用感受之間找到平衡點。”

　　IT骯髒祕密第二條：員工很可能正在“以廠為家”

　　那些“退休”了的IT資產很可能以出人意料的方式煥發第二春

　　陳舊的技術裝置很少真正被丟進垃圾桶，它們往往能快速找到自己的新家——有時候，“新家”與IT員工的家會產生交集。

　　“員工盜竊被淘汰的裝置早已不是什麼新鮮事了，”Retire-IT公司CEO Kyle Marks指出——這是一家專門處理與IT資產有關的欺詐與隱私合規問題的企業。“我還從來沒見過任何一位從未將公物佔為己有的IT從業者。對於大多數人來說，拿點業已淘汰的裝置並不算什麼了不起的事情。很多人也不會將此視為安全威脅——一旦裝置報廢，他們會將其當成可以隨意處置的東西。

　　將裝置從垃圾堆或者回收站裡撿走的最大問題在於，其中很可能還包含有敏感資料。一旦這部分資料遭到曝光，很可能會給公司造成巨大損失，Marks指出。當然，即使沒有什麼後續麻煩，這樣的行為本身也屬於盜竊公司財產。

　　“盜竊與欺詐屬於很嚴重的事態，極有可能引發大規模隱私事故，”他補充稱。“如果任由這種態勢發展下去，無法無天的IT員工很可能將整個企業推向崩潰的邊緣。然而在大多數情況下，負責確保所有資產得到妥善處理（即刪除所有資料）的主管人士往往是IT部門的一員。企業需要建立一套‘逆向採購’流程，以保證資產遵循正常方式退出自己的工作崗位。”

　　但是不是每一位IT員工都會對陳舊硬體伸出貪婪的雙手？某位拒絕公佈名字的資深IT資產處置從業者表示，實際情況與Marks所做出的推論相去甚遠。

　　“我並不是說盜竊活動並不存在，”他解釋道。“我只是想說明，我從未遇到任何一位對陳舊硬體抱有固定處理模式的從業者。”

　　他同時補充稱，大部分裝置之所以消失不見，主要是由於丟失或者其它一些難以說清的原因——例如被運到了錯誤的地點。

“這聽起來有些否定一切的傾向，事實上很多企業都對自身以完全誠實可信的態度提供安全服務、堅持處事方式的做法表示驕傲。”

　　IT骯髒祕密第三條：將資料儲存在雲中——比你想象的更危險

　　如果跟法律條文扯上關係，世界上任何一種安全機制都將無法保護我們

　　把資料儲存在雲環境下確實很方便，但我們也很可能需要為這樣的便利付出高昂的代價：在如同一團亂麻的法律訴訟當中，我們的資料將不翼而飛。

　　“大多數人並沒有意識到當自己的資料被儲存在雲環境中其他人的系統上、並與其它企業的資料比鄰而居時，一旦對方遭遇法律糾紛、我們的資料也可能受到殃及而不得不被公之於眾，”IT支援企業CSI集團老總Mike Balter指出。

　　換句話來說，大家的雲資料很可能由於針對他人的調查活動而遭受意外牽連——倒黴是惟一的理由，只是因為跟嫌疑方共用了一臺伺服器、企業就可能遭受嚴重損失。

　　2012年1月就發生過一個典型案例，當時美國與紐西蘭當局關閉了Kim Dotcon公司的MegaUpload檔案櫃。除了確實涉嫌盜版的大量電影資料之外，當局還沒收了成千上萬來自守法客戶的資料且拒絕歸還。時至今日，這些可憐的普通使用者仍然無法確定自己的資料還能不能被重新找回。

　　“資料遭到扣押的風險是真實存在的，”Touro法律中心商業、法律與技術研究部門主任Jonathan Ezor做出證實。“如果執法部門或者其它政府官員擁有任何法律依據，則完全可以收繳儲存裝置或者系統——在某些特殊事件中可能需要獲得批准——而這些系統中的資料無論是否存在嫌疑，都可能遭到剝奪。總之，任何一家企業的資料在儲存於控制範圍之外時，都將不可避免地受到某種程度的窺探——至少他人有權訪問同一套硬體裝置。

　　要想保護自己免受這種最壞狀況的影響，使用者必須自己的資料到底被儲存在哪裡、哪些法律條文符合當前情況，雲案例企業JumpCloud公司CEO David Campbell表示。

　　“我們的建議是尋找一家能夠對伺服器及資料的物理位置做同保證的雲供應商，例如Amazon，這樣大家才能以主動姿態控制未知風險，”他指出。

　　Ezor同時補充稱，對資料進行加密能夠有效防止獲得資料的傢伙成功解讀其中的內容。另一個好主意是：在手頭常備一份資料備份。我們真的不能確定什麼時候這就成了企業的最後一根救命稻草。