回顾：2007年11月，富达国民信息服务公司（Fidelity National Information Services）旗下子公司Certegy Check Services的一名高级数据库管理员利用权限访问，窃取了属于850余万个客户的记录。随后，他把这些资料以50万美元的价格卖给了一经纪人，该经纪人转手卖给了直接营销商。后来这名员工被判处四年以上徒刑，并处罚金320万美元。据公司工作人员声称，没有出现身份失窃，不过受到影响的客户们收到了当初购买这些资料的公司发来的推销广告。

    在另一起重大案例中，杜邦公司一名工作了十年的资深科学家下载了价值高达4亿美元的商业机密，随后在2005年年底离开公司、转投杜邦在亚洲的一家竞争对手。据审判记录显示，他利用权限访问，下载了大约22000份文档摘要，并且浏览了大约16700个全文PDF文件。这些文档涉及杜邦的大多数主要产品线，包括一些新兴技术。这名科学家与那个竞争对手偷偷商谈时进行了下载活动，他在接受这份差事后下载了两个月。最后，他被判处在联邦监狱服刑18个月，缴纳罚金3万美元，还被判支付赔偿金14500美元。

    代价：在杜邦案中，商业机密的价值估计超过了4亿美元，不过政府估计这家公司实际损失了大约18.05万美元。没有证据表明机密信息被转移到了共同作案的那个竞争对手。

    据Semple声称，客户信息被窃带来的损失几乎总是超过知识产权被窃。以Certegy案为例，2008年达成了调解：为个人信息或财务信息被窃取的所有集体诉讼原告提供高达2万美元的赔偿，弥补身份失窃造成的某些未赔偿损失。  

    提醒：ITRC表示，2008年登记在案的泄密事件中近16%归因于公司内部人员。这比前一年的比例翻了一番。导致这种增长的一个原因就是，如今招聘员工的是与犯罪活动有瓜葛的外部人员——据卡内基·梅隆大学CERT协调中心声称，这个趋势可解释1996年至2007年所犯的内部人员犯罪的一半事件。

    CERT表示，内部人员犯罪有两个原因：一是为了获取钱财（如Certegy案），另一个是为了获得商业优势（如杜邦案）。CERT表示，在后者当中，犯罪活动通常在违法员工辞职后就开始了。但窃取活动通常在他们离开公司后进行的，留下了一条秘密通道，以便访问所需数据。

    Semple表示，内部人员窃取是最难对付的，特别是员工使用授权访问时更是如此。

    教训：CERT表示，一条有效的防范措施就是，监控数据库和网络访问权限以查找异常活动，并设置阈值，表明不同用户的哪些使用是可以接受的。这样一来，如果负责某项任务的员工所做的事超出了正常的职责范围，就比较容易发现。比方说，杜邦之所以能发现非法活动，就是因为那名科学家使用电子数据库服务器过于频繁。

    如果怀疑发生了泄密事件，CERT表示重要的是行动要迅速，以便尽量减小信息被进一步传播的可能性，并且让执法部门有机会开始调查案件。

    Lazar表示，公司还应当实施基于角色的访问控制工具，以便严格控制谁在访问宝贵资产。含有客户或员工信息的数据库允许的访问权应当非常有限。他说：“每天有多少人需要未经许可、查看社会保障号和地址？个人信息受到的保护级别应与商业机密一样严密。”

    Muller建议使用数据丢失预防工具，限制个人数据被电子邮件发送、打印或拷贝到笔记本电脑或外部存储设备上。要是有人试图拷贝个人数据，有些这类工具会发出警报以通知管理员，并且为这类事件建立日志文件。他说：“许多情况下，公司没有落实合理的跟踪记录系统。”

    Semple表示，加强内部控制和审计措施也很重要，比方说反复检查网络和数据库活动日志。单单维持详细的日志还不够；你还需要落实审计措施，查看有没有人改动日志或非法访问日志。他说：“除非有一种方法可以核实日志信息没有被篡改，否则就很难知道日志的重要性。”

    但到头来，光有技术还不够。Semple说：“你要找到一种办法来确保你所信任的用户确实值得信任。”