老刘被警方抓获的消息,是在内部彻查结束后的第四天传来的。
那天下午,古民正在和技术团队讨论安全整改方案,手机响了。来电显示是市公安局网安支队的陈警官。古民接起电话,陈警官的声音从听筒里传来,带着一种公事公办的平静:“古先生,我们已在外省将犯罪嫌疑人刘某抓获。他对犯罪事实供认不讳。”
古民握着手机,沉默了几秒钟,然后问:“他为什么要这么做?”
陈警官回答:“据他交代,他离职后在新公司工作不顺,经济压力较大。一次偶然的机会,他在暗网上看到有人高价收购用户数据,便萌生了窃取原公司数据的念头。他利用未注销的内部账号,在凌晨时段登录了服务器,将数据打包下载,然后通过加密渠道出售给了买家。目前,我们已经追回了部分数据,但仍有相当一部分数据已经被传播扩散。”
古民闭上眼睛,深深地吸了一口气:“陈警官,法律会怎么判?”
“根据刑法第二百五十三条之一,侵犯公民个人信息罪,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。刘某窃取的数据量巨大,且已造成严重后果,属于情节特别严重。如果罪名成立,他可能面临三到七年的有期徒刑。”
古民沉默了片刻,然后说:“陈警官,谢谢你们的工作。”
挂断电话后,古民坐在椅子上,久久没有动弹。技术团队的成员们面面相觑,不知道发生了什么。林知秋小心翼翼地开口:“古老师,是老刘被抓了吗?”
古民点了点头:“抓到了。他供认不讳。”
会议室里一片沉默。有人松了一口气,有人面露复杂之色。老刘曾经是他们的同事,一起吃过饭、加过班、聊过天。如今,他却成了把公司推向深渊的人。
林知秋打破了沉默:“古老师,接下来我们怎么办?”
古民站起身,走到白板前,拿起一支马克笔,写下了几个大字:“数据权限管理改革。”
他转过身,看着在座的团队成员:“老刘的事情,已经交给法律处理了。我们现在要做的,不是沉浸在愤怒和失望中,而是从这次事件中吸取教训,防止类似的事情再次发生。”
他在白板上画了一个简单的示意图:“这次事件的直接原因,是老刘利用未注销的内部账号实施了攻击。但深层原因,是我们的数据权限管理系统存在严重的漏洞。具体来说,有三个问题。”
他在白板上写下第一条:“第一,账号生命周期管理不严格。员工离职后,账号没有及时注销,权限没有及时收回。老刘离职三个月,他的账号居然还能登录服务器。这是最致命的问题。”
他写下第二条:“第二,权限分配过于粗放。老刘在职时,他的账号拥有访问用户数据库的权限。但仔细想想,一个后端工程师,真的需要直接访问用户数据库吗?他完全可以通过API接口来获取所需数据,不需要直接接触底层数据库。我们给他的权限,远远超出了他的工作需要。”
他写下第三条:“第三,敏感操作缺乏监控和审批。老刘在凌晨两点登录服务器,下载了数十万条用户数据。这么大的数据量,这么异常的访问时间,我们的监控系统居然没有触发任何警报,没有任何人进行复核。这说明,我们的安全监控机制形同虚设。”
他放下马克笔,转过身,看着团队成员:“这三个问题,每一个都是致命的。三个叠加在一起,出事是必然的,不出事才是侥幸。”
技术负责人小陈低下了头:“古老师,这些问题,我们之前也意识到了,但一直没有推动整改。我负主要责任。”
古民摇了摇头:“小陈,现在不是追究责任的时候。现在要做的,是制定整改方案,并且立刻执行。”
他走回白板前,在刚才写的三条问题旁边,分别写下了对应的整改措施:
“第一,建立严格的账号生命周期管理制度。员工入职时,根据岗位职责分配最小必要权限。员工离职时,必须在离职当日注销所有账号,收回所有权限。HR部门和IT部门必须建立联动机制,确保离职流程无缝衔接。”
“第二,实施‘最小权限原则’。任何员工,只能访问完成本职工作所必需的最小范围的数据。对于敏感数据,实行分级分类管理。普通员工无权直接访问用户数据库,需要通过申请-审批-留痕的流程,才能获取脱敏后的数据。”
“第三,建立智能监控和异常行为预警系统。对于非工作时间的异常登录、大批量数据导出、权限提升等**险行为,系统必须自动触发警报,并通知安全团队进行复核。复核结果必须记录存档,定期审计。”
他写完这三条,然后在下方画了一个大大的圆圈,里面写了一个词:“零信任。”
“从今天起,我们要建立‘零信任’安全体系。”他说,“不信任任何账号,不信任任何设备,不信任任何网络。每一次访问,都必须经过身份验证、权限校验和行为审计。只有这样,才能最大限度地降低内部威胁的风险。”
会议室里安静了几秒钟。然后,小陈带头鼓起了掌。掌声越来越响,最后汇成了一片。
古民抬起手,示意大家安静下来:“整改方案,我会在今天之内形成正式文件,发给大家审阅。明天开始,技术团队按照方案进行整改。安全团队负责全程监督。一个月内,我要看到全新的数据权限管理体系上线运行。”
会议结束后,古民回到办公室,打开电脑,开始起草那份整改方案。他写得非常详细,不仅列出了具体的整改措施,还制定了每一步的时间节点和责任人。他写完后,又仔细检查了一遍,确认没有遗漏,然后发给了公司全体管理层。
当天晚上,古民回到家,把老刘被抓的消息和公司的整改方案告诉了沈砚君。沈砚君听完,沉默了片刻,然后说:“古民,你有没有想过,如果老刘当初没有走,今天的事情可能就不会发生?”
古民愣了一下:“什么意思?”
沈砚君说:“老刘离职的原因,是家庭经济压力大。如果当时公司能够给他提供更好的待遇,或者在他提出离职时,你能够更深入地了解他的困境,给他一些帮助,他可能就不会走。他不走,就不会有今天的事情。”
古民沉默了。他从来没有从这个角度想过问题。
沈砚君继续说:“我不是在为老刘开脱。他做的事情,是错误的,应该受到法律的制裁。但我想说的是,很多悲剧的发生,都不是单方面的原因。如果我们能在源头上多一些关怀和帮助,也许就能避免一些悲剧。”
古民沉默了很久,然后说:“砚君,你说得对。我一直在想怎么修补技术漏洞,却忽略了‘人’的漏洞。”
沈砚君握住他的手:“现在意识到,也不晚。”
古民点了点头,但心中却久久无法平静。他想起老刘在公司时的样子——那个沉默寡言、埋头写代码的男人。他想起老刘提出离职时,他只是简单地问了几句原因,就批准了。他没有深入了解老刘的困境,没有尝试提供帮助。如果他当时多问几句,多做一些,也许今天的一切都不会发生。
他拿起手机,翻到老刘的电话号码。他犹豫了一下,最终还是没有拨出去。他知道,现在说什么都晚了。但他暗暗下定决心,从今以后,他要更多地关注员工的处境和需求,不仅仅把他们当作“人力资源”,而是当作一个个活生生的人。