4 月 12 日消息,中国裁判文书网披露了一份华为员工利用公司系统 Bug 越权访问机密数据的案件。
华为员工易某因工作需要,利用公司系统 Bug拥有登录华为企业资源计划 (ERP)系统的权限,查看工作范围内相关数据信息。
2010 年 12 月,易某从华为公司线缆物控部调任后,未按华为公司的要求将 ERP 账户线缆类编码物料价格的查询权限清理,至 2017 年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在 ERP 系统内获取线缆物料的价格信息。
2017 年以后,易某发现 ERP 系统中的 POL 采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司(华为技术有限公司的供应商),从而帮助金信诺公司在华为公司的招标项目中提高中标率。
在 2016 年 12 月 27 日至 2018 年 2 月 28 日期间,多次通过公司邮箱将华为多个供应商共 1183 个(剔除重复部分共 918 个)线缆类编码物料的采购价格发送给金信诺公司。其在 2012 年至 2017 年 6 月 30 日期间,收受金信诺公司购物卡共计 7000 元、篮球鞋 5 双(价值共计人民币 16437.6 元)。
案发后,华为公司出具谅解书,表示对易某侵害华为公司的行为予以谅解。
据悉,法院一审裁定,易某犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元;并向易某追缴违法所得共计人民币 23437.6 元,依法予以没收,上缴国库。
易某提起上诉,请求撤销原审判决,并依法改判为免于刑事处罚。法院二审裁定,易某非法获取计算机信息系统数据,违法所得超过人民币 5000 元,属于情节严重,已经构成非法获取计算机信息系统数据罪。原审判决认定事实清楚,证据确实充分,定罪准确,量刑适当,审判程序合法,驳回上诉,维持原判。
什么是ERP
ERP(Enterprise resource planning,企业资源计划)是整合了企业管理理念、业务流程、基础数据、人力物力、计算机硬件和软件的企业资源管理系统,主要由“物流”“财流”“信息流”“人流”构成。
根据2003年信息产业部颁布的《企业信息化技术规范》,ERP系统主要包括库存、采购、营销、BOM、车间任务管理、工艺、MRP、成本、人力资源、质量管理、经营决策、总账、自动分录、应收应付、固定资产等功能模块。
物联网时代的工业4.0浪潮下,传统的ERP行业已经逐渐退出历史舞台,取而代之的是云ERP。
云ERP有分为公有化部署和私有化部署。所谓公有化部署,就是将ERP软件部署在类似阿里云、华为云这样的公有云厂商服务器上,按年交年费给ERP厂商。私有化部署则是将ERP软件部署在客户自己的服务器上,国内代表有金蝶和用友。传统ERP的销售是一次性的,而公有化部署的云ERP将彻底变成一项续费业务。
云ERP具有灵活敏捷、实施周期短、运维成本低、升级方便、安全性高等特点,可以通过对内部数据和外部数据的挖掘、分析和洞察,以产生ERP所不具备的链接能力、预测能力。
ERP是宝箱也是弱点
对企业而言,ERP是一个充满价值的数据宝箱,也是一个致命的弱点。
ERP系统涵盖了公司的知识产权以及员工和客户的个人身份信息,也是黑客攻击的重点对象。无论企业的ERP系统是在本地还是在云端,都很容易受到攻击
ERP安全性通常缺乏技术漏洞测试和渗透测试。典型的 ERP 环境经常容易成为被攻击的标靶,其中包括网络主机、Web 组件、数据库、胖客户端和移动应用程序。
对于此弱点,企业能做的就是在安全技术方面仔细审查ERP环境,例如日志记录和警报、多因素身份查验、数据丢失防护和云访问安全代理,以确保只有有业务需求的用户才能访问ERP环境。
使用常识和一致性监督是两个关键的,只有定期且不间断地进行ERP安全测试,团队定期审查安全运营中心审计报告,并查看最新漏洞和渗透测试报告的副本,才能确保数据宝箱不被暴露在可预防的弱点之下。