一位雇員、一位深受信任的內(nèi)部人員竊取了公司最敏感的數(shù)據(jù)——公司的商業(yè)機(jī)密，這對(duì)任何公司來(lái)說(shuō)都不啻是一場(chǎng)噩夢(mèng)。對(duì)法國(guó)興業(yè)銀行來(lái)說(shuō)，這種噩夢(mèng)可能已經(jīng)成為了現(xiàn)實(shí)。這家銀行發(fā)現(xiàn)，其高頻交易系統(tǒng)中使用的專有代碼被盜。一名曾在這家銀行紐約辦事處工作的前交易員涉嫌在去年辭職之前竊取了該代碼。

機(jī)密代碼

4月19日，Samarth Agrawal因被指控犯有竊取商業(yè)機(jī)密罪而遭到逮捕。根據(jù)檢方指控，去年6月，Samarth Agrawal在被晉升為交易員時(shí)獲得了對(duì)此段代碼的訪問(wèn)權(quán)限，然后他將這段代碼從法國(guó)興業(yè)銀行的專有交易系統(tǒng)復(fù)制到一個(gè)Word文檔中。據(jù)檢方透露，有一個(gè)星期六他在自己的辦公室中將此段代碼打印了數(shù)百頁(yè)，而監(jiān)視攝像機(jī)拍到了他似乎將什么打印材料裝入了一個(gè)背包中。后來(lái)，在其去年11月辭職之前，他還涉嫌復(fù)制和打印了另一部分他未被授權(quán)訪問(wèn)的代碼。

權(quán)威人士表示，法國(guó)興業(yè)銀行曾花費(fèi)數(shù)百萬(wàn)美元，開(kāi)發(fā)其面向各種安全市場(chǎng)的、先進(jìn)的高速交易計(jì)算機(jī)系統(tǒng)。幸運(yùn)的是，這家銀行發(fā)覺(jué)了這一明顯的盜竊行為。但安全專家表示，看來(lái)這家銀行防止商業(yè)機(jī)密和知識(shí)產(chǎn)權(quán)被竊的關(guān)鍵控制措施要么是出現(xiàn)了故障，要么根本就沒(méi)有。

美國(guó)一家安全咨詢公司SystemExperts的總裁兼CEO Jonathan Gossels指出，“如果這個(gè)家伙的盜竊行為不是如此笨拙和明顯，那么他可能就僥幸逃脫了。”

法國(guó)興業(yè)銀行這一案件的發(fā)生與另一起類似的竊取商業(yè)機(jī)密案件僅僅時(shí)隔8個(gè)月。在另一起案件中，一名計(jì)算機(jī)程序員被指控竊取了屬于其前雇主的專有交易系統(tǒng)的代碼，人們普遍認(rèn)為這家雇主就是美國(guó)投資銀行高盛集團(tuán)。

訪問(wèn)控制與用戶配置

檢方透露，法國(guó)興業(yè)銀行采取了很多措施保護(hù)其專有代碼，包括只允許工作需要的員工訪問(wèn)代碼、監(jiān)視交易系統(tǒng)以及限制向系統(tǒng)以外的電子傳輸。法國(guó)興業(yè)銀行在一封電子郵件聲明中表示，將“積極保護(hù)”其專有信息和知識(shí)產(chǎn)權(quán)。

但是，安全專家對(duì)一名交易員究竟為什么需要訪問(wèn)代碼感到懷疑。美國(guó)一家專門從事金融服務(wù)業(yè)詐騙和經(jīng)營(yíng)風(fēng)險(xiǎn)管理的咨詢公司Jodi Pratt and Associates的***顧問(wèn)Jodi Pratt質(zhì)疑說(shuō)，“為什么除了程序員以外還有人有機(jī)會(huì)獲得程序代碼”？

Gossels表示，盡管一些交易員確實(shí)需要進(jìn)行自定義編程，但是這似乎與法國(guó)興業(yè)銀行案件中犯罪嫌疑人的情況不一樣。他認(rèn)為，“大多數(shù)人不應(yīng)該接觸源代碼”。

此外，Pratt指出，犯罪嫌疑人獲得其未被授權(quán)訪問(wèn)的代碼的方式表明，這家銀行的系統(tǒng)缺乏適當(dāng)?shù)呐渲?。她說(shuō)，“在金融機(jī)構(gòu)，員工的訪問(wèn)權(quán)限通常會(huì)根據(jù)其擔(dān)任的角色和個(gè)人用戶ID被嚴(yán)格限定”。

Gossels表示，如果法國(guó)興業(yè)銀行正確地制定了適當(dāng)?shù)脑L問(wèn)控制策略，則犯罪嫌疑人就不可能訪問(wèn)他未被授權(quán)訪問(wèn)的代碼。

保護(hù)商業(yè)機(jī)密

Gossels表示，像專有計(jì)算機(jī)代碼這樣的知識(shí)產(chǎn)權(quán)，完全適合使用數(shù)據(jù)丟失防護(hù)（Data Loss Prevention，DLP）工具加以保護(hù)。

他說(shuō)，“在企業(yè)范圍內(nèi)部署DLP工具非常困難，因?yàn)樗鼈兊某掷m(xù)性成本太高。但是，如果你的目標(biāo)系統(tǒng)是一個(gè)非常具體而且隔離的環(huán)境，那么就應(yīng)該使用DLP工具來(lái)保護(hù)你的系統(tǒng)，實(shí)施細(xì)粒度的訪問(wèn)控制，并確保對(duì)訪問(wèn)進(jìn)行監(jiān)視和記錄?！薄　?/P>

他補(bǔ)充說(shuō)，DLP工具可以限制用戶對(duì)被授權(quán)訪問(wèn)的數(shù)據(jù)執(zhí)行哪些操作，包括阻止將數(shù)據(jù)復(fù)制到Word文檔中。

Pratt指出，假如星期六不是某位員工的正常工作日，則一個(gè)監(jiān)視內(nèi)部行為和跟蹤可疑員工活動(dòng)的系統(tǒng)將能夠檢測(cè)到該員工星期六進(jìn)入辦公室的可疑行為。內(nèi)部欺騙檢測(cè)系統(tǒng)（如美國(guó)Memento公司的產(chǎn)品）可以尋找異常的員工行為，例如員工從他人的計(jì)算機(jī)或者在非工作時(shí)間訪問(wèn)網(wǎng)絡(luò)資源。

Pratt說(shuō)，“你可以確定一個(gè)人是否出現(xiàn)在其不應(yīng)該出現(xiàn)的地方”。

不過(guò)，Gossels強(qiáng)調(diào)，法國(guó)興業(yè)銀行最終還是發(fā)覺(jué)了這一明顯的竊取商業(yè)機(jī)密的行為，并取得了犯罪嫌疑人作案的法律證據(jù)。他說(shuō)，“顯而易見(jiàn)，這家銀行建立了完善的日志記錄制度”。

【編輯推薦】

1. 網(wǎng)上銀行犯罪及網(wǎng)絡(luò)安全偵查對(duì)策
2. 網(wǎng)上銀行的安全性分析