welcome to EZ Working Skills
英國專業人士組成的Fraud Advisory Panel最近所發表的報告顯示,互聯網上一些沒有組織的罪案,主要以中小企為對象。網上罪案(cyber crime)是利用電子網絡,非法偷竊企業內的金錢或資產,又或以不合法手段更改紀錄,竊取企業的機密檔案。
中小企主要面對三方面風險﹕
(一)外界的惡作劇者﹔
(二)本身企業內的員工,因不滿公司而報復﹔
(三)內外共謀。
網上犯罪的模式實在千變萬化,例如曾有一宗網上偷竊(e-theft),一名油公司女職員在短短11個月內盜竊47萬美元(約366萬港元),她是在每次收銀時竊取小部分,存入其丈夫的銀行戶口。從這宗例子說明,中小企由銀行進出帳目或是現金的交收,都必須審慎。由於電腦化關係,不少中小企都沒有刻意查看網上紀錄,例如出貨入貨等,與實際紀錄進行核對。
另外,每當中小企購買電腦新系統,在安裝時須留意系統內部或外掛有否被加裝偷竊程式。而近期一次全球網絡受侵,根據美國聯邦調查局的資料,竟是一名十多歲青年所為。
網上犯罪者的心態多是出於好奇,或是企業內的職員偷偷下載文件不被發覺而感到沾沾自喜,但這些網上犯罪者很容易變得不能自拔。至於黑客(hackers)不時向圈內人作出挑戰,目的在作惡或整蠱。在過去數月,筆者周末返回辦公室及工廠,發覺電子郵件中了毒,所有電腦都被「病毒」入侵,而我們全部行政人員花了整天才能消除病毒。
對於上述情況,大部分中小企的高層人員都是見怪不怪,但筆者見到有些職員卻高興起來,因為他們可以閒聊不用工作,待電腦恢復正常才繼續。
至於電腦安裝簡單的防火牆,中小企便以為可防止網上入侵,不過現時每天都有新病毒,故此需要不時update(更新)才可避免出事。
最近網上罪案已由作惡轉移到金錢上,中國大陸的企業受到黑客入侵,透過電子網絡再入侵電話線,從而欺騙電話費。這種情況在美國已漸見普遍,當地最大宗電話欺詐案(telecom fraud),涉及75萬美元(約585萬港元)的費用。
中小企另一要防禦的是網上間諜(netspionage),現時不少美國公司在中國境內我們的廠房製造軟件及電子零件,況且世界大部分的智能卡(smart card)是在中國生產。我們對於這些不屬於自己知識產權的保密有何安全措施﹖若我們一旦被入侵,客戶的競爭對手獲得商業秘密,我們又有否法律責任﹖
最近Canal Plus控訴NDS涉及30億美元(約234億港元)的案件,事緣於Canal Plus智能卡的商業秘密被人盜取並於網上公開,這個案會否令人警惕﹖
另一種甚為普遍的網上罪案就是盜用身分,主要是用他人的身分證或信用卡欺騙。香港特區政府已開始發出智能身分證,身分被盜用可以作為網上投注、網上交易。在美國發生「九一一」事件後,紅十字會的網頁被人複製(clone),在36小時內的全部捐款均被該複製網頁「沒收」。故此,我們必須保障自己的身分。
中小企對防範網上罪案有一定責任,以下提供一些措施可減低風險﹕
(一)定期審核電腦的server logs、internet logs,從而可以發現犯罪紀錄並作出跟進﹔
(二)一旦有懷疑,立即採取隔離系統措施或隔離懷疑人士,以防止再有破壞行動﹔
(三)員工合約上,加上有關偷竊公司網上資料的條款,保留起訴員工權利﹔
(四)定期查核電腦所記錄的貨倉資料,並與實際盤點作出比較﹔
(五)改善企業內容易發生網上犯罪的範圍及流程。
■英國曼徹斯特城市大學教授及
哈佛大學博士後研究員黃淑儀博士
電郵地址﹕[email protected]