去年有一家金融科技公司的董事长找我做安全咨询时,说了一件让他至今想起来都后背发凉的事。他怀疑公司内部有内鬼,因为每次董事会上讨论的一些敏感决策,比如说要裁撤某个业务线、要对某个高管进行处分、或者在跟某家机构谈战略投资,不出两天消息就会传到外面,而且传得有鼻子有眼。公司试过各种方法调查,查邮件、查聊天记录、查系统登录日志,都没找到泄密的源头。
直到他们请了外部技术团队做了一次深度安全审计,才发现问题出在公司内部的监控系统上。公司会议室装有音频采集设备,用于远程会议的拾音和本地会议的音视频录制。这些音频采集设备连接到一台部署在机房的服务器上,由信息安全部门负责管理。而信息安全部门的管理员,姓吴,在公司干了四年多,技术过硬,一直很受信任。没有人想到,这位负责保护公司信息安全的人,反而是一个巨大的安全隐患。
吴某利用自己管理监控系统的超级管理员权限,悄悄在会议室的音频采集服务器上设置了后台录音转发规则。每场会议室录制的音频文件会自动复制一份到他的个人加密空间。关键董事会的会议室由于级别较高,他还在里面提前测试过收音效果。就这样,他把公司过去一年内的董事会会议录音全部收集了起来。他把这些录音文件以极高的价格卖给了公司的竞争对手和几个对这家公司感兴趣的投资机构。竞争对手根据录音中透露的战略方向提前做了针对性的布局,导致公司在几次关键的市场动作上都落了后手。
调查结果出来之后除了震惊之外,还让管理层意识到几个制度设计的致命缺陷。没有做到权限分立。吴某既是监控系统的管理员,也是监控日志的审计员,自己管自己,系统中的任何操作都不会被其他人发现。如果在制度上把系统管理员和审计员的角色分开,让不同的人分别负责操作和执行监督,任何管理员级别的操作都需要经过另一方的复核,泄密行为被发现的概率会大大增加。
没有对监控系统本身进行定期安全评估。公司的网络安全检查重点是防火墙、数据服务器、办公终端这些常规目标,而会议室音频系统和视频监控系统几乎从来不在检查范围之内。这些信息采集设备天然就是高价值数据源,如果安全评估不覆盖这些系统,就等于把家里的钥匙挂在了大门外面。
从这起事件的教训出发,我建议所有部署了会议室录音系统和视频监控的企业做好三件事。第一是建立监控系统的操作日志自动上报机制,所有管理员对系统的操作行为必须写入不可篡改的日志系统并定期由第三方审计。第二是对关键会议室的录音设备进行物理管理和权限分离,录音设备的管理密码只能由IT部门负责人掌握,而录音文件的使用权则交由法务或合规部门独立管理,避免出现一个人同时持有所有权限的情况。最后一个是定期的反演练,模拟内部人员利用权限窃密,检验现有的制度和系统能不能在发生后快速发现异常。在数据安全管理领域,信任永远不能替代检查,这是挂在墙上再多制度标语都不如一次有效的内部审计。
