全球歷經長達兩年Covid-19疫情影響,許多企業內員工必需被迫改變工作型態,從辦公室內工作移轉到遠距辦公。員工再重返辦公室工作,機率高嗎?毒一再的變種,我們的工作模式也一再的彈性調整,從一開始的分流辦公、居家上班,延伸為室內、戶外場所的遠距辦公的型態。然而快速轉變的辦公模式,員工成為引發資訊安全問題的一個導火線,同時也是最容易被組織IT人員所忽略的一處。
3M(明尼蘇達礦業製造)英國資安研究團隊,發現網路攻擊事件沒有因為Covid-19影響而停止,反而是大幅提升攻擊的頻率,這對於企業的資料安全、隱私安全與遠距辦公型態帶來了一大挑戰。例如雲端平台安全的資安廠商Zscaler最新研究報告「2020年加密攻擊狀態」指出2020年攻擊者,繞過傳統安全機制的路徑攻擊,而是利用加密通道進行竊取網路上的資料,此手法行為與2020年的前九個月,增加了260%。3M研究團隊表示,大家對於Covid-19的恐懼與好奇心,更容易掉入攻擊者所設計的陷阱內。
美國ACFE(認證舞弊稽核師協會/Association of Certified Fraud Examiners)指出所訪問的人員,有77%受訪者反應,自從Covid-19出現以來,愈來愈多的勒索軟體攻擊與商務/企業電子郵件詐騙(Business Email Compromise,BEC),這也暴露出企業與個人使用網路,安全上的弱點。
遠距辦公的模式,企業與個人,可以如何讓機敏資訊安全、隱私資料無虞?3M從Data Protection World Forum(A GRC World Forums Initiative)所提供的一份The Bigger Picture/Privacy and Work in the New Normal的報告中分享英國保護資訊權利的獨立機構ICO(Information Commissioner’s Office)所提出的數個企業組織、個人所應該關注的資訊安全與隱私資料保護的關鍵因素,3M分享五點對於無論是辦公室或是遠距辦公都值得我們大家學習與改變現有的設備使用習性。
避免個人主觀認為的做事方式,造成組織重要的資料外洩,遵守組織政策為要。
因為遠距辦公的因素,員工使用私人的電子設備,例如智慧型手機、筆記型電腦設備等等裝置處理公事,這可能會發生BYOD(Bring Your Own Device)自攜設備資安的問題。
ICO表示,私人的電子設備很少會像企業的規律維護或是隨時監控設備使用的狀況,因此私人的電腦經常會出現,例如:
- 軟體未更新(包括操作系統軟體),很容易受到攻擊者入侵或是電腦內資料的洩漏或被竊取。
- 員工使用個人設備的電子郵件帳戶進行工作溝通。
- 電子設備是與家人共用,讓設備內機敏的資料與管理上,造成鬆散。
- 常犯的失誤就是電腦的弱密碼,也是資料外洩的關鍵之一。
因此,遠距辦公型態逐漸普遍,電子設備的使用安全機制,郵件使用多因素身分驗證(Multi-Factor Authentication,MFA),設備上私人的資料和工作上的資料應該要分開,操作系統或是軟體要定期更新等等。如果遠端辦公者可以使用組織所提供的軟硬體設備,對資料保護也是最佳方式。
3M的全球視覺駭客研究(Global visual hacking experiment study)報告表示,有80%的工作者均承認,無論在任何公共場所工作,例如共享工作空間、會議室、機場休息區或是咖啡館,「視覺駭客」是一個無形的威脅。因此,遠距辦公的工作者,如果未加以使用遮蔽螢幕裝置來防範螢幕上所呈現的訊息或是企業機敏的資料,都極有可能會成為企業資料外洩環節之一。
如同ICO所指出,無論是居家辦公或是遠距辦公,「保密」這件事情存在許多安全風險,除了視覺駭客,螢幕資料被看到外,還有可能是員工與家人或是與朋友共同使用工作空間時,所進行的私人或是企業機敏業務相關的討論,都具有被偷聽的高風險。
因此,IOC建議遠距辦公要多留意談話時的環境是否安全與令人放心的,尤其是討論企業機敏相關的事情,另外,則是電腦設備螢幕要擺放不會被窺視與監看的地方,或是可以考慮讓螢幕防窺片來保護您的螢幕內機敏的資料。
在辦公室,使用影印設備非常的平常,資料影印出來後,文件資料留置辦公室內使用或是當文件資料不需要或是機敏文件需要銷毀時,就使用辦公室內文件資料碎紙機進行處理。但是,居家辦公或是遠距辦公不會有這些硬體設備。
英國專業的文件掃描紀錄與機密資料處理Go Shared公司對1,000名居家辦公者進行調查中顯示有66%受訪者會在自家個人的影印機列印機敏的工作文件,例如商業合約文件、會議紀錄、薪資單、員工簡歷資料等等,且平均每周至少列印五份文件出來。因此遠距辦公模式,工作者要確保遵循組織的影印安全政策。
遠距辦公者如果使用自己的軟硬體設備工作時,建議您務必將組織的資料獨立歸類與您私人資料分開,同時也要避免保留資料的時間,以遵守GDPR的資料保留的限制規範,因此最理想的方式是組織提供設備給遠距辦公者使用,同時組織也落實提醒員工,管理設備內資料安全的責任。
以上是英國保護資訊權利的獨立機構ICO所提出的遵守組織的資安政策與程序;使用組織提供且核准的設備;辦公剋星「視覺駭客」,考慮使用螢幕防窺片來防禦資料外洩;留意文件影印後的資料處理;公司資料與私人資料明確的分開,這五點是工作者,無論是在辦公室、居家辦公或是遠距辦公,都值得留意與自我提醒,也是組織裏的資訊、資安人員進行企業組織的安全防護與規範制定時的參考。對於經常被忽略卻又是重要的資料安全、隱私安全的預防與觀念的建議,如同防疫般,勤洗手與戴口罩是最好的防疫方式,亦可稱這五點,為「資安衛生」的養成,養成的成功來自於落實與持續。
進一步了解請網路搜尋: