联通员工为何能盗取流量使公司损失45万？

　　案例

　　辛某在联通北京分公司左家庄营业厅工作，主要负责收电话费、安装座机电话、装宽带、销售手机号卡等。她的工号具备添加流量包的权限，但公司没有授权她添加。辛某的丈夫铁某是联通公司的代理商，负责办理手机、固话业务及手机号码的销售等，没有为集团客户添加流量包的权限。

　　2013年，联通北京分公司定向给予中国铝业股份有限公司每人每月最低消费294元，包括286元iPhone标准套餐+8元定向流量套包（1.9G）的业务。该套餐仅限在中铝集团内部使用，不能擅自给公众客户办理。2013年3月8日，铁某伙同辛某，擅自使用辛某的工号和密码登录联通公司网络系统，为铁某销售的493个手机号码非法添加仅针对中铝集团内部使用的定向数据流量包，造成联通北京分公司资费损失共计21.69万余元。3月12日，铁某又使用辛某的工号和密码，为其销售的500个手机号码非法添加前述流量包，造成联通北京分公司资费损失共计23.67万余元。联通北京分公司的两次损失共计45万余元。

　　2013年5月辛某辞职后，公司发现其工号违规给很多手机号添加流量包，遂报警。据铁某称，2013年3月，卡贩子张某在他的经营点购买了500张手机号卡。张某得知辛某在联通营业厅工作，就提出为这些卡号加装中铝集团8元1.9G的流量包，并演示了添加程序，他和辛某同意了。之后，张某到营业厅找辛某对上述卡号中的493张添加了流量包。过了几天，张某再次找他购买500张手机号卡，提出全部加装中铝集团8元1.9G的流量包，他就利用辛某的工号和密码登录联通公司网络系统进行了操作。

　　评述

　　联通公司作为国内通信行业的垄断性企业，其高效的信息化办公使广大用户体会到快捷、便利服务的同时，也将一些风险进行了固化，隐蔽性较强。一旦有心人借此从事某些不法行为，很可能会给公司带来巨大损失。本案例中，辛某及其丈夫利用联通的系统漏洞，将本不该给予非定向客户的流量包私自加装给了他人，给公司带来45万余元的损失。下面笔者将根据案例细节，详细分析联通公司内控中存在的问题。

　　（1）系统权限设置不合理，系统权限与实际职位权限不匹配。案例显示，辛某的工号具备添加流量包的权限，但公司并没有授权她添加。这说明辛某的实际信息系统权限大于公司赋予她的工作权限。系统权限设置存在漏洞，是很多企业在管理中非常容易忽略也经常疏忽的问题。随着信息系统应用增多，企业相应的风险理念、防范意识却未能与之匹配，这在很大程度上增加了系统的固有风险。

　　信息系统权限大于实际工作权限的危害性很大，极有可能导致：其一，不具备操作权限的员工进行违规操作；其二，违规操作不易被发现；其三，原本应由多人完成的不相容职责由一人完成。

　　在企业经营管理中，一方面，管理层要意识到系统权限设置的重要性，对系统管理人员的选任，应选择合适、能够信任的人员；另一方面，需要设置监督岗位，定期对系统管理员的权限授予、更改等操作行为进行审计，检查其进行权限操作的行为是否得到了相应的授权审批。当然，对于权限授予是否合理，也必须进行评估。如发现不当授权导致权限超出职权范围，或不相容岗位在权限上未进行有效分离时，可进一步追溯检查。

　　（2）系统设置存在漏洞，能对非现有用户进行充流量且系统操作未限制操作地点。案例显示，张某第一次要求铁某和辛某为其电话卡增加流量包时，是由辛某在营业厅完成相关操作的；而张某第二次要求铁某为其电话卡增加流量包，则是“铁某直接利用辛某的工号和密码登录联通公司网络系统进行了操作”。可见，辛某工号的相关操作不仅可以在办公地点的内网进行，还可以在非办公地点通过外网进行。这表明联通公司给用户增添上网流量的系统存在漏洞。

　　系统权限的授予或关闭是否合理，应该评估相应指令下达后可能带来的风险大小，以及是否有其他补偿性措施来降低或防范该风险。对于联通公司而言，一项很重要的收入来源就是话费以及上网流量的收费。业务人员能随意给大量非现有用户增添流量包，显示了该公司缺乏必要的系统审批控制，可能会直接影响公司收入。这些功能的设置存在着较大的风险。因此，从内控风险防范的角度来看，联通应当禁止员工通过外网登录企业内部系统进行相关信息浏览和业务操作的行为，以确保企业信息系统和资金资产的安全性及商业机密的保密性。

　　信息系统对现代企业来说是一把双刃剑，用得好能大大提升经营效率，用得不好却能在一夕之间给企业造成巨大损失。因此，在信息系统上线运行前，以及日常管理的过程中，企业应认真审核与审计信息系统及各系统岗位的功能与权限，以确保公司资金资产和信息数据的安全性。

　　文 于枚仟 陈皓 高垚