第十四章资讯使用与伦理.doc

第十章 學習目標 課前個案 機密分級救公司 小心！讓企業半年虧上億的殺手 一度是2004年上櫃市場股王的德士通，因前MIS主管盜洩客戶資料，兩個月流失一半客戶，不到半年損失上億元。專家教你如何讓公司不重蹈德士通覆轍，還帶你取經IBM做法。 辛苦經營多年的上萬名客戶，突然在一夕之間變心了。一向表現績優、一路成長的公司，卻在不到2個月內，流失了近一半的客戶。出了什麼問題？為什麼會這樣？怎麼可能冒出瞬間出現的強力競爭者？所有的問號都在這一刻瀰漫整個公司。這是發生在2004年一度是上櫃市場股王德士通的真實故事。從事網路電話服務的德士通，2004年2月底以103元上櫃，5月底曾飆高到197元的歷史高點，一度是上櫃市場股王。去年稅後EPS也高達8.06元。但2004年12月開始，一路風光的情況卻急轉直下。當月德士通的業績衰退了2成，是公司成立7年多以來的首度衰退。接下來，在短短不到2個月，流失了近一半的客戶！「每天我們3個人碰到彼此，只能互相打氣，『要沈住氣啊』，」德士通總經理符人英回憶，當時公司3位最高主管已經掌握到一些異狀，但是還沒到收網時刻，對外、包括面對員工都不能解釋。直到2004年4月19日，刑事局出動搜索，查獲德士通甫離職的MIS經理鍾文祥複製公司網路電話系統，並削價挖走客戶。據估計，不到半年的時間，德士通損失高達上億元，股價也一度跌落到50元以下。關鍵1：不能讓一人管控所有系統對於中小型公司而言，資安議題可以說既單純卻又高風險。「其實，資安對我們來說應該很簡單，」符人英說，由於網路電話系統都是自行開發，外部入侵並不容易。公司員工共105人，管理上也不會太複雜。但是內部「人的因素」卻成為危機所在。像鍾文祥是從公司只有一台電腦的時候，就擔任MIS（網路管理）工作，也容易一路延襲過去的權責，掌握所有資訊。於是，他一方面複製公司的系統程式，私下另外設立公司與機房；另一方面，透過所管理的郵件系統掌握到和德士通往來的大客戶。他聯繫對方，強調提供完全相同但價格更低的服務，迅速挖走客戶。付出了上億元的代價，符人英決心把它化為寶貴的學分，重新檢視與改善內部流程。第一步，就是把網路管理的工作做切割，沒有單一主管可以一覽所有資訊。「國外絕對不可能一個人帶走所有的資料，除非是高級長官；但台灣的情況常是，挖走幾個關鍵工程師、專案經理就能夠帶走企業中非常重要的資料，」對於這個現象，勤業眾信副總經理萬幼筠也有所觀察。現在，德士通依照業務特性切割出內部管理系統、電信業者端系統、用戶設備端系統3部分。除了總經理之外，不再讓一個人的權限可以觸及全部系統。「與其仰賴人的道德，我們決定讓制度來避免類似的情形再發生，」符人英說，企業應該避免放一個蜜糖在面前，引誘犯罪。關鍵2：建立機密中心有系統控管德士通的第二步，就是建立文件控管中心，重新系統化地定義、規範公司的重要資訊。過去德士通只有簡單規範一些重要資料，但現在重新把所有與產品相關的訊息都列為核心的控管範圍。相關的簽核都提高到總經理層級。在建立新流程的過程中，他們也特別設計舉辦工作坊，邀請各事業單位都來討論、模擬未來做法。關鍵3：防堵e-mail全都露「e-mail是很沒有安全性的！」經過這事件，符人英也深刻感覺到電子郵件的問題。郵件伺服器一定仰賴人工維護，所以管理的人員也是一個學問。現在德士通就設定由業務無關的技術人員負責管理。同時，更把電子郵件設定只用於溝通，重要檔案則一率禁止寄送。凡是文件控管中心訂定的重要資料，例如客戶資料或技術文件，都只能用紙本傳遞，調閱、複印都會留有紀錄。符人英表示，「雖然有些不方便，但安全還是最重要！」對於公司的改革，符人英顯得堅定而馬不停蹄。在檢方出手取締之後，他立刻推出連串的措施，並且馬上開始針對研發、以及下游廠商等不同區塊做安全規劃。「剛好有這個事件，我們就順水推舟，」符人英說，一般企業推動安全政策可能不容易，但經過公司的危機時刻，主管與員工也願意配合努力，希望共度難關。在競爭激烈的商業殺戮戰場上，機密外洩成為大小企業都要面對的終級生存學。德士通的經歷值得借鏡，而他們化危機為轉機的精神更值得學習。專家看法1：萬幼筠（勤業眾信副總經理）打破企業資安的3大迷思7、8年前加入勤業眾信就投入資安管理顧問，萬幼筠現在率領龐大的25人資安顧問團隊，參與過眾多國內金融與政府機構的資安建置經驗。人的流動是自然發生的。但人拿走不該拿的資料，就是程序問題。企業應該先定義，什麼是需要被保護的重要資料。資源有限的情況下，要選擇重點部份保護。發生資安事件都屬於正常範疇，就看你知不知道、能不能管理。企業面對商業洩密的風險，第一目標當然是先求不發生。第二，是第一時間知道，第三是可以損失控管，有跡可尋，控告對方。以國際大廠杜邦來說，他們就鎖定了企業所有的高價值系統來監控，它會時時計算資料被存取錯誤的