云端协作平台权限设置不当致数据泄露
云端协作平台已经渗透到企业日常工作的每一个角落。共享文档、在线表格、云端文件夹、项目协作空间,这些工具大大提升了团队协作效率,但也制造了新的商业秘密泄露风险通道。一起因云端协作平台权限设置不当导致的严重数据泄露事件,值得所有依赖云端协作的企业警醒。
某互联网企业的产品团队使用某主流云端协作平台进行项目管理,在平台中创建了产品需求文档、技术设计方案、用户研究数据、竞品分析报告、运营活动计划等一系列工作文件。整个团队在这个共享空间中协同工作,项目进展顺利。问题出在权限管理上。为了让团队成员方便地分享文件,许多文件夹和文件的权限被设置为了知道链接的人均可查看甚至可编辑。团队中有员工在与外部合作伙伴沟通时,将文件链接直接发给了对方,接收方获权访问后发现可以查看大量的项目文件夹,内容远超当前合作事项所需,里面包含了即将发布的新产品原型图、定价策略文档和下季度营销计划。
在相当一段时间内,企业完全没有意识到这些核心商业信息正在被未经授权的外部人员自由查看。直到一位外部合作方在无意中向企业员工提及其看了某个本应是内部机密的文档,企业才意识到数据已经对外敞开多时。事后排查发现,涉及泄露的文档数量令人触目惊心,且由于平台缺乏详细的访问审计记录,无法确定泄露的具体扩散范围。
这起事件暴露了云端协作平台使用中的几个致命误区。误区之一是默认权限设置过于宽松。很多云端平台为了提高用户体验,默认的分享设置往往是相对宽松的。企业用户如果不主动调整默认设置,就等于在无防护下使用平台。误区之二是为了方便牺牲安全。权限设置越宽松使用越方便,但安全风险也成倍增加。误区之三是对云端平台的安全模型缺乏了解。部分用户以为只有收到链接的人能看到文件,不了解链接本身可以被随意转发,且部分平台不提供链接被谁使用过的完整审计记录。
针对此次事件的教训,企业在使用云端协作平台时应当做到以下几点。首先,在平台上建立明确的权限管理策略,根据文件的重要程度设置不同的访问控制级别。核心机密文件原则上不上云端,必须上云的应当采用密码保护和有效期限制。其次,定期审计云端平台上的权限设置和文件分享记录,发现不安全的设置及时修正。第三,对员工进行云端办公的安全培训,让每个人都了解权限设置的正确方式和安全意识。第四,网络层面的技术管控应当配合使用,对企业上传到云端的数据进行分类分级监控。
云端协作是趋势,但不加管控的趋势就是风险的温床。企业安全主管应当尽快建立云端协作平台的统一管理规范和审计机制。业务负责人应当评估当前云端共享的文件中是否存在不应公开的敏感信息,及时调整权限设置。一把手应当认识到,云端化的便利背后,是更大的监管责任。
北京企密安为企业提供云端协作安全的评估和防护方案,帮助企业安全地利用云端工具提升效率而不损害保密底线。如需咨询云端协作安全管理方案,请拨打010-63711822或联系jess@baomiwang.com。
