华为员工越权访问机密数据被判刑,大数据告诉你计算机类舞弊行为的特点

华为员工越权访问机密数据被判刑,大数据告诉你计算机类舞弊行为的特点丨内控与反舞弊

 星瀚 星瀚微法苑 2022-10-19 08:00 发表于上海



今年4月,一则华为员工利用公司系统Bug越权访问机密数据被判刑的消息登上微博热搜!根据中国裁判文书网公布的二审裁定书[1]显示,2010年12月,易某从华为公司线缆物控部调任后,未按华为公司的要求将ERP账户线缆类编码物料价格的查询权限清理,至2017年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息。2017年以后,易某发现ERP系统中的POL采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。一审法院认为,被告人易某犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元。


计算机类舞弊行为主要涉及三种罪名,除了上述提及的非法获取计算机信息系统数据罪(获取计算机信息系统中存储、处理或传输的数据),还包括非法控制计算机信息系统罪(对计算机信息系统实施非法控制)、破坏计算机信息系统罪(对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行)。随着信息技术的发展,生活工作方式的改变,计算机类舞弊行为也成为了舞弊犯罪中的常见罪名。在《2020年度中国企业员工舞弊犯罪司法裁判大数据报告》(以下简称“报告”)中,星瀚企业内控与反舞弊法律中心共筛选该三类罪名中与内部员工舞弊有关的案件28例,被告人74人,我们发现该类罪名呈现出以下特点:



多发于信息技术服务业


经统计,计算机类舞弊犯罪判例绝大多数都在信息技术服务业中、其他涉及的行业有建筑业、批发零售业、制造业和商务服务业。这与该罪名的特性相符。同时,计算机类舞弊案件被查处的情况,与该地区经济发展情况也有一定关系。

微信图片_20221027093134.png



犯罪学历门槛并不高


计算机类舞弊犯罪人员文化程度较为平均分布,在能够统计学历的64名犯罪人员中,初中及以下文化17人,高中文化17人,大专13人,本科16人,硕士及以上1人。这反映了计算机类舞弊犯罪并不一定需要系统学习专业知识


微信图片_20221027093137.png


同时,根据检索到的案例,有明确岗位信息的共有70人,其中14人为技术人员,46人为管理人员,9人为销售岗员工,财务和人事岗分别有1人。如前文提到的计算机类舞弊案件所呈现出的特点,从判例情况来看,进行计算机类舞弊的人员,并不一定需要专业知识,管理人员反而是该类罪名高发的岗位,这与大众的认知可能有所不同。究其原因,管理岗位人员虽然可能不具备计算机专业知识,但由于其在管理公司的过程中,有调阅、获取、更改公司收集的用户信息等权限,抑或是技术类岗位人员调任管理岗,其对公司的信息系统更加熟悉。



修改数据最容易


计算机类舞弊犯罪中,员工的犯案手段多种多样。其中最多的行为手段是修改数据,共有23人,占全部可统计案例数的32.86%。这可能是因为此类手段较为隐秘,不易被发现,且能够快速达到行为人的犯罪目的


此外,破坏、控制、侵入计算机系统、盗取账号的犯罪手段在计算机类舞弊犯罪中也有一定数量,还包括截取、删除、出售数据,倒卖个人信息,开设赌场,盗窃数字货币,数据爬取,掩饰隐瞒犯罪所得等。


微信图片_20221027093140.png


结合报告反映的现象及该案例,我们建议企业从以下几个方面加强内控建设:


01

规范内部岗位流转及离职流程


在华为案中,易某从原部门调任后,未按要求将查询权限清理,从而埋下了舞弊的种子,易某的舞弊行为持续时间长达7年,可见是没有设立完善的员工岗位流转手续和流程。相应的,我们在一些案例中也会发现“吃空饷”的舞弊行为,这也是因为离职时的手续和流程不够健全所导致的。企业应当根据实际情况,建立健全的员工退出、转任机制,明确退出、转任的条件和程序,确保员工退出、转任机制得到有效实施。对于转岗、离职员工而言,也应该做好相关记录和备案,在审查时也 “有据可查”。


02

明确授权审批,加强员工内控意识


易某通过多次越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息的整个过程,都通过公司的信息系统完成,除了系统本身存在bug外,在实施过程中也似乎没有相应的内部牵制或制衡,抑或是需要获得某种特定的审批。可见,公司信息系统及管理流程上本身就存在巨大的安全风险。同时,员工私自出借账号的行为显然也是缺乏合规意识的体现。公司应当通过优化信息系统,完善内部管理流程,特别关注账户安全以及后台异常数据,设置合理的分级审批权限,加强业务监督力度以及定期开展反舞弊教育培训,有效保证公司的信息安全。


03

加强技术防御,善用电子取证手段


华为案中,易某在多年舞弊并未发现的情况下,发现了采购程序的bug,并进一步“升级”了自己的犯罪手段,也是不容忽视的一大问题。对于高度依赖信息技术、互联网化的企业而言,定期检查、升级系统,发现问题及时修补是重中之重。


另一方面,从实践中,计算机类舞弊行为确实存在定案可能性低,取证难度大等困难,但雁过留痕,证据在计算机内、网络上必然会留下蛛丝马迹,利用齐全的技术发现这些痕迹在事后显得尤为重要。我们建议企业采取符合法律规定的电子取证程序,及时对涉案的任何电子设备(电脑、手机、移动硬盘等)进行固定、封存,以备司法诉讼阶段调取质证;若涉案系统或计算机被破坏的,应当及时对所造成的直接经济损失以及用户为恢复数据、功能而支出的费用做好统计。


结语














现如今,我们的工作生活学习都离不开互联网的发展,企业信息化程度的不断提高,在带来便利的同时也对企业的管理提出了更高的要求。企业不仅要不断优化信息技术,更需要进一步提升自身的安全防御政策与措施,全面提升员工的合规意识,加强监督和管理。








[1] (2021)粤03刑终1657号