员工离职删库被判10个月

资讯 作者:安在 2022-02-14 22:48:58 阅读:439


近日,“程序员删库事件”又轰动一时。据悉,该名员工被京东到家的外包公司所聘请,负责京东到家的代码研发工作,在试用期期间,完成了委派的所有任务后,该外包公司便想将他辞退。


于是,员工就自身这无端被白嫖而气愤不已,一怒之下便选择删除了自己所写下的所有代码,即京东到家平台优惠券、预算系统以及补贴规则等,导致原定按期上线项目延后。同时,由于该外包公司无法自己修复,只得另找第三方公司花三万恢复数据库,所以该员工此举也给公司造成了财产损失。


经法院判决,该名程序员构成了破坏计算机信息系统罪,因此被判处有期徒刑10个月。






虽同情但不能容忍




不得不说,对于这类事件的发生其实大部分人的想法并不相合。在“白嫖他人劳动成果”和“板上钉钉的成文法”之间有着太多见仁见智的平衡和观念,而在“申辩立场”的言辞背后,又同样有着太多云谲波诡、不为人知的运作和交流。因此,我们能做到的就只有在似是而非的情景下,始终坚定符合法治的思维并以此为基础的处世观念,这样才能够使自身的利益不被侵害。


对于外包公司所呈现出的做法,我们肯定是嗤之以鼻的。当今社会,不少公司会在试用期时让新进员工解决所谓的技术问题,若员工解决了,他们就会觉得没必要再签劳动合同了,若员工解决不了,那正好有了不签合同的借口。甚至更有甚者会在面试时就把自己公司的技术难题出在“考卷”上,让面试者给出解决方案,而这种做法无非就是想通过招聘来获得免费的资源和方法。


所以,面对这些求职者或说这些受害者们的遭遇,我们很难不表示同情。但,“没有规矩不成方圆”,法治社会始终需要每个人都恪守原则和法律。《刑法》第二百八十六条规定,违反国家法律法规,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役。





数据安全举足轻重




因此,该名程序员就他个人立场而言,只是做了发泄或说只是做了“删除自己所写代码”的举措,但就其带来的影响不仅仅是对公司、企业造成了亏损,同时也对社会信息安全的大环境造成了“不正之风”,即不把数据、数字化信息等视为重要生产要素。


当下,随着越来越多的事物、领域被连接到了网上,大部分的生产、运营、协同等流程都开始了数字化,“电脑代码”还仅仅就只是计算机的事吗?很有可能这小小的一删会影响到一个公司的存亡、一个区域的运作、一个城市的安全,所以首席安全官们才会如此义正辞严的声张道:信息安全是各行各业的安全,是全人类共通的安全!故对于这案件带来的视角,我们才应该从个人上升为社会、从事件上升为势态。


2020年223日,港股上市公司微盟集团一位IT运维员工贺某因生活不如意,在其个人住所通过电脑连接公司虚拟专用网络,4分钟便将微盟服务器内数据全部删除。贺某的“删库”行为导致300余万用户无法正常使用微盟SaaS产品,故障时间长达814个小时。微盟“删库”事件发生后,次日开盘,公司市值蒸发超6亿港元。



4分钟的操作,300余万用户无法正常使用、故障时间长达814小时、公司市值蒸发超6亿港元。看看这几个数据对比,可想而知,计算机中数据所能控制的内容已远远超过了人们的想象。





公司该有的安全理念




而就事件具体分析来看,微盟是有一些安全管控的手段的,比如独立的虚拟专用网、堡垒机、数据库也做了备份、具备了基本的安全设备和保障手段,但依然不足以抵挡这样的恶性事件。究其原因会发现,他们的IT运维-权限管理存在漏洞,微盟没有根据数据重要程度对权限进行分级管理,对重要级别高的数据采取高级别的操作权限控制;再比如IT运维审计策略也存在不足,虽然通过堡垒机对运维过程实施了审计,事后通过运维审计提供详细的审计日志给公安机关作为权威证据,锁定恶意操作者,但从结果来看明显没有对数据库账户包括DBA高权限账户的数据库运维行为进行有效监控管理,没有对drop indexdeletermalias 等危险命令进行严格的制约,否则删库操作不会成功。


面对这种种“天灾人祸”、“前车之鉴”,其实众人都该对数据安全提起高度重视了,经营者们都该想想有没有对数据安全保障方案进行过深入的评估和审查,或在资源有限的情况下,舍不舍得花成本去聘请外部专家顾问团队对数据安全进行评估和测试,并审视下自己公司,有没有把数据安全管理纳入到日常的管理范围内。经营者若对数据安全没引起足够过的重视、没有严格按照公司的内控管理制度对运维人员的权限进行分级和分区管理、没有对于数据安全技术体系的建设和引入,那就很可能使自己的公司陷入到极为危险的境地。


作为企业,要想有良好的运转就必定得有良好的理念和文化,总想着怎么剥削、怎么白嫖,那能坚持多久?岂不闻“解把飞花蒙日月,不知天地有清霜”吗?再者,科技飞速发展、数字化时代如此突飞猛进的趋势里,公司内部是非常需要“信息安全”这样的概念的,否则一旦什么数据被删了就只能找第三方公司来帮忙完善了,那万一第三方公司也一样居心叵测呢?


比如有网友拿“某公司的核心业务部门系统中了比特币勒索病毒WannaCry”举例,他建议程序员不要写bug多可读性差的垃圾代码、也不要乱改函数名称或者类名、不要删减修改那些重要函数的注视代码、特别注意不要把数据库和防火墙密码设置得过于简单,若公司内部的程序员“完全”不照此网友所说的做,公司将面临怎样的困境?《刑法》上又能否列举出同样细节的内容?






法律和安全意识至关重要




作为个人,首先得学会做一个“合法公民”,得知道自己所做的行业涉及到哪些法律内容,一方面这些法律可以提醒自己不要犯错,另一方面法律也是维护自己很好的武器。比如此次事件中所提到的“试用期”,《劳动合同法》第十九条规定,以完成一定工作任务为期限的劳动合同或者劳动合同期限不满三个月的,不得约定试用期;试用期包含在劳动合同期限内;劳动合同仅约定试用期的,试用期不成立,该期限为劳动合同期限。同时,公司若认为员工在试用期不符合录用条件,那么举证责任就在公司,公司如果举证不了就要承担违法辞退的责任。


而此次事件里,该程序员原本可以以受害者的姿态去维权、去劳动仲裁,结果最后却把自己变成了加害者,被白嫖了工作成果外最后竟还要承担法律责任,简直雪上加霜。基于这类事的发生,让我们看到了国家法律法规还需要不断完善的同时,将“法治”宣传到位也是刻不容缓的,特别是就自身岗位所匹配的法律范畴。


“加强员工信息安全意识”该成为每个公司的基本理念。密码安全、邮箱安全、无线安全、边界访问安全、内网安全等,需要众人都严格的落实到位,而方法的话,比如在“不影响正常工作的前提下,合理利用员工碎片化时间进行宣贯工作”、“注重与员工工作、生活息息相关的信息安全知识点”、“选择不易引起员工反感的宣传教育形式”等网上也是层出不穷,无非就是坚定长期宣传、长期灌输,势必将每个人的安全意识都培养完备,这样,对公司来说,最大的风险、最有可能发生的风险就能被控制下来。



齐心抗疫 与你同在 




点【在看】的人最好看




在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接