也许你能扛得住黑客入侵，防得了邮件钓鱼，但却栽在了自己人手里。据《财经》杂志报道，80%的数据泄露是企业内鬼所为，黑客入侵及其它方式仅占20%。还是那句话，人性才是系统最大的漏洞……

2018年，FreeBuf报道过不少的数据泄露事件，但其中却比较少是因为内鬼而引起的，如果真如前所说的4：1比例，那意味着绝大部分内鬼作案的数据泄露是我们不知道的，毕竟内部人士作案也是最不容易被发现的手段之一。

可能是因为“内鬼”获取数据太容易，你永远想象不到一直小心翼翼保护的信息是如何被贱卖的。

国内某金融公司出现“内鬼”

2018年底，裁判文书网公布了一则侵犯公民个人信息罪的刑事判决书，其中详细记录了张某在深圳佰仟金融任职期间，利用职权获取数百万条公民个人信息，以每条0.2元至0.5元的价格贩卖给他人非法牟利近40多万元。

据了解，张某从2017年4月份开始任职佰仟金融服务有限公司数据工程师，通过链接公司管理数据库的方式导出大量含有客户姓名、电话、身份证号码等内容的个人信息，后通过QQ、微信等聊天工具贩卖给他人，每条个人信息价格仅为0.2元、0.5元不等。

2018年1月17日，张某被以涉嫌侵犯公民个人信息罪被公安局刑事拘留，2月7日正式被逮捕。在对张某所持有的一部手机及一台笔记本电脑进行检查，发现还存有2797371条个人信息。

根据佰仟金融服务有限公司的规定，张某所任岗位确实有权查询、接触及调取相应的业务数据，但同时岗位有义务严格遵守保密制度，不得泄露公司的信息。

最终在2018年12月份二审判定，张某非法获取公民个人信息并出售，情节特别严重，判处有期徒刑五年，处罚金41万元。

正如前文所提到，80%的数据泄露是因为内鬼，利用自己的特权能够直接接触敏感数据，或者在系统中放置后门，即便一天两天不出事，但谁能保证永远都不出事呢？毕竟在利欲的驱使下，人性是最不靠谱的东西。或许意味着，绝大多数公司里，都存在着定时炸弹，不同的是，有的爆了，有的还一直在潜伏。

内部威胁成为亟待解决的安全问题

为了抵御外部威胁，企业做了内外网分离，却一定程度上默认内网是安全的。日益频繁的数据泄露事件，时刻都在警示我们，威胁不只是来自于外部，内部威胁已经成为一个亟待解决的问题。一个新的概念已经出现，零信任安全架构，其基本理念就是，任何人都是不可信的。如在本案例中，即便张某有部分权限，获取到的数据可以是被加密的密文，任何敏感的操作都被系统记录，不解密的数据则毫无价值。

Google、Forrester、Palo Alto等企业较早地将这种理念付诸实践，已经成为近两年最热门的关键词之一，国内已经有不少公司吸收并采用这种理念进一步对内网安全进行升级。也许零信任安全可能并不能完全解决企业内鬼的问题，但却能够将这种风险出现的可能性尽可能降低，未来可期。

关于零信任安全架构的内容，FreeBuf 发布过多篇相关内容进行解读，感兴趣地可搜索关键词查阅：https://search.freebuf.com/

*参考来源：中国裁判文书网，本文作者shidongqi，转载请注明来自FreeBuf.COM