【IT168资讯】美国零售业巨头TJX公司的信用卡支付系统在年初被黑客入侵，共有465万个信用卡号码被盗，从而使这起事件成为迄今为止最大的一起数据泄密事件。虽然目前许多公司在竭力保护自己、避免发生下一次TJX那样的重大数据泄露事件，但它们忽视了另一种风险：社交网络。几乎每家公司内部都有人在写博客——无论这是不是官方博客。

    不是说只有“迷你微软”（Mini-Microsoft，常常抨击微软的内部博客）才会带来问题。热情高涨却对公司政策不是很熟悉的员工、公开留言板上的开发人员，甚至是员工偶尔谈论一下工作的私人博客，它们都会带来风险。

    弗雷斯特咨询公司近期的一项调查研究了诸如此类的内容安全问题。委托弗雷斯特公司作这项调查的是Proofpoint，这家公司提供电子邮件安全与数据泄露预防解决方案。

    2007年7月进行的这项调查收到了员工数量不少于1000人的美国公司返回的308份答卷。弗雷斯特公司发现，20%以上的调查对象事后发现“在过去的12个月通过发布在博客或者留言板上的内容泄露了机密、敏感或者私密的信息。”

    Proofpoint公司的市场开发主管Keith Crosley说：“安全与IT从业人士刚刚开始对博客和留言板有一清醒认识。主要担心的还是从公司发出去的电子邮件，但其他这几种消息传送及网络联系方式也不容忽视。”

    粗心员工与恶意员工一样危险

    公司员工通常并不是心怀叵测，只是粗心大意而已。AOL在去年发生的数据泄露事件就是一个典例。AOL曾在现已停办的研究网站上发布了与搜索查询有关的信息，此举侵犯了658000名用户的隐私。虽然AOL用数字取代用户姓名，试图以此保护用户的身份，但弄清楚许多这些用户的身份还是比较容易，因为用户常常在AOL上查找自己、亲朋好友以及所在小区的信息。

    AOL肯定没有恶意，只是太粗心罢了。AOL以为，这些信息有助于研究人员，他们的本意肯定也不是想侵犯顾客的隐私。他们就是没有把问题考虑全面，从而导致了重大丑闻、在公众跟前颜面全无、失去了许多顾客、缠身官司，最后开除了三名员工，其中包括首席技术官。

    据弗雷斯特研究公司的分析师G. Oliver Young声称，甚至早在员工进来之前，公司就要开始为内容控制而操心了。他说：“如果求职者把有问题的内容放在MySpace或者Facebook页面上，这就要引起警惕。”如今，公司在为求职者提供面试机会之前就审查这些网站的做法司空见惯。

    据Proofpoint公司的Crosley声称，这个问题要比大多数人认为的来得严重。他说：“每发生一起重大的数据泄露事件，恐怕就有数百起比较小的同类事件。”只是这些事件没有公之于众。事件在公司内部得到了处理，结果常常以解雇相关人员收场。

    Crosley说：“人力资源部门开始审查某个员工的网上行为时，事态其实很严重了。”在过去，员工很担心公司对自己的上网浏览习惯吹毛求疵。毕竟，随着工作融入到知识员工的个人生活当中，许多人认为，在工作时间偶尔处理些私事是完全合情合理的。同样，知识工作的压力使得员工休息十分钟、查看体育比赛得分同样是可以接受的。

    Proofpoint公司发现，绝大多数雇主并不担心浪费时间。“如果人力资源部门在监控员工的网上行为，那么这种行为几乎总是与数据泄露或者机密信息被偷有关——而不是浪费时间的行为。担心工作效率是否受到影响是次要得多的问题。毕竟，单单浪费些时间不会让你的股东价值损失数百万美元之巨。”

    不过，数据泄露和数据被偷未必与网上行为有关。美国退伍军人管理局（VA）传出重大的数据泄露丑闻后，事后查明原来是一名IT员工把笔记本电脑给丢了。随着与便携式存储设备有关的费用越来越低，发生类似事件的可能性却越来越大。

    由于如今市面上出现了数GB容量的USB驱动器，而且价位很低，每天晚上都会出现类似VA的风险，因为你的员工有可能怀揣数GB的信息离开办公楼。

    SkyRecon Systems公司的首席运营官兼美国业务部总裁Philippe Honigman说：“要像管理敏感应用软件那样来认真管理外部存储设备及外设。公司提供的大多数USB驱动器没有内置的验证或者加密机制，大多数公司完全忽视了这些设备带来的风险。”