0.整体处理流程
1.验证真实有效性和定级
定级可以关注的维度:
1)数据敏感级别:对外公开-内部公开-机密秘密信息,总体来说数据越敏感等级越高。
2)数据量:数据量越大,定级越高,最好定下一个基线,如50,5000等。
3)业务核心程度:边缘-一般-核心,越核心定级越高。
4)其他:一些有时效性的数据可以考虑“时效性”,因为网盘信息泄露的利用难度和复现难度都非常低,即风险都特别高,所以可能带来的PR影响有可能更需要考虑在内。
当然,如果用DREAD模型计算下,就直接出来了,具体可参考《基于DREAD模型的漏洞等级计算》
2.定位上传人员
1)查看账号,有的账号可能没有加密,直接根据百度账号相关信息进行查找。
2)看看有没有office文件,如果有,右键查看“属性”可以拿到人名拼音,根据员工信息找到人,可能有离职可能在职。
3)查看文件是否有个人信息,例如有的材料里有署名等。
4)查看具体的材料内容,通过材料内容,定位公司内部部门,然后根据查找相应的部门接口人定位具体材料的负责团队甚至负责人。
3.判断离职员工是否适合联系
1)前领导是否仍在企业供职。
2)离职时与领导是否相处愉快。
3)联系方式:尽量提前准备好相关话术,电话沟通,以免沟通不当或使用其他软件被截图等方式产生公关风险。
5.启动官方法务流程材料
1)授权材料
i.授权书
ii.营业执照
需盖章,一般联系企业法务部即可。
iii.法人身份证信息
需盖章,一般联系企业法务部即可。
vi.以上信息的纸质盖公章材料,以及存有以上电子材料的U盘。
2)发送方式及地址
一般快递邮寄给网络搜索相应公司网上留下的法务的联系电话或地址即可。
点击“阅读原文”有一个示例可供参考,电话可留相关公司总机,若接通不了也没有关系,请快递员放到传达室即可。
6.Q&A
1)这种外部给奖励嘛?怎么给?
如果是企业真实有效的信息泄露,是有给奖励的必要的,因为不仅有信息泄露风险,还存在公关风险,如果是敏感信息,利用和传播难度远远低于常见的安全技术漏洞,因为没有任何技术基础的人也可以传播。具体评级可参考上面的“1.验证真实有效性和定级”,也可以根据自身情况定级,只要能自圆其说并且明确相应标准即可
2)真的遇到了如何处理?
见“0.整体处理流程”以及后续的说明。
3)如果启动了线下法务流程,是帮忙删除还是咋地?
由于删除用户信息可能涉及到用户隐私及法律风险,有可能还存在巨大的公关风险,故某些平台只能做已经列举的地址的信息屏蔽,但不会删除用户上传的信息。也就是说,如果用户继续重新公开分享,还是有敏感信息公开泄露的风险。
4)如果启动了线下法务流程,某平台是否能够提供上传者的信息?
同上,由于涉及到用户隐私及法律风险,有可能还存在巨大的公关风险,so……
5)这么多难道有一个寄一个?是不是需要占用的资源太多了?
可以内部定义一个周期,在这个周期内统一整理材料到文档里,然后发送邮寄,如一周,半个月,一个月等。
6)那这样只能外面报一个,企业就处理一个,是不是太被动了?有没有更好的解决方法?
建立企业的数据安全团队,使用如DLP等数据安全产品,企业自己通过各种渠道主动对外爬取和监控敏感信息泄露并及时处理,对企业员工进行安全意识培训,减少信息泄露。
_____________OK,分享完毕,留在最后__________
防患于未然好过亡羊补牢,
亡羊补牢好过放任自流。