全球歷經長達兩年Covid-19疫情影響,許多企業內員工必需被迫改變工作型態,從辦公室內工作移轉到遠距辦公。員工再重返辦公室工作,機率高嗎? 病毒一再的變種,我們的工作模式也一再的彈性調整,從一開始的分流辦公、居家上班,延伸為室內、戶外場所的遠距辦公的型態。然而快速轉變的辦公模式,員工成為引發資訊安全問題的一個導火線,同時也是最容易被組織IT人員所忽略的一處。
網路攻擊事件沒有因為Covid-19影響而停止
3M (明尼蘇達礦業製造)英國資安研究團隊,發現網路攻擊事件沒有因為Covid-19影響而停止,反而是大幅提升攻擊的頻率,這對於企業的資料安全、隱私安全與遠距辦公型態帶來了一大挑戰。例如雲端平台安全的資安廠商Zscaler最新研究報告「2020年加密攻擊狀態」指出2020 年攻擊者,繞過傳統安全機制的路徑攻擊,而是利用加密通道進行竊取網路上的資料,此手法行為與2020年的前九個月,增加了260%。3M研究團隊表示,大家對於Covid-19的恐懼與好奇心,更容易掉入攻擊者所設計的陷阱內。美國ACFE(認證舞弊稽核師協會/Association of Certified Fraud Examiners)指出他們所訪問的人員,有77%受訪者反應,自從Covid-19出現以來,愈來愈多的勒索軟體攻擊與商務/企業電子郵件詐騙(Business Email Compromise,BEC),這也暴露出企業與個人使用網路,安全上的弱點。
遠距辦公的模式,企業與個人,可以如何讓機敏資訊安全、隱私資料無虞? 我們從Data Protection World Forum (A GRC World Forums Initiative)所提供的一份The Bigger Picture / Privacy and Work in the New Normal的報告中分享英國保護資訊權利的獨立機構ICO (Information Commissioner’s Office)所提出的數個企業組織、個人所應該關注的資訊安全與隱私資料保護的關鍵因素,我們分享五點對於無論是辦公室或是遠距辦公都值得我們大家學習與改變現有的設備使用習性。
一、遵守組織的資安政策與程序
避免個人主觀認為的做事方式,造成組織重要的資料外洩,遵守組織政策為要。
二、使用組織提供且核准的設備
因為遠距辦公的因素,員工使用私人的電子設備,例如智慧型手機、筆記型電腦設備等等裝置處理公事,這可能會發生BYOD (Bring Your Own Device)自 攜設備資安的問題。
ICO表示,私人的電子設備很少會像企業的規律維護或是隨時監控設備使用的狀況,因此私人的電腦經常會出現,例如:
a. 軟體未更新(包括操作系統軟體),很容易受到攻擊者入侵或是電腦內資料的洩漏或被竊取;
b. 員工使用個人設備的電子郵件帳戶進行工作溝通;
c. 電子設備是與家人共用,讓設備內機敏的資料與管理上,造成鬆散;
d. 常犯的失誤就是電腦的弱密碼,也是資料外洩的關鍵之一
因此,遠距辦公型態逐漸普遍,電子設備的使用安全機制,郵件使用多因素身 分驗證(Multi-Factor Authentication, MFA),設備上私人的資料和工作上的資料應該要分開,操作系統或是軟體要定期更新等等。如果遠端辦公者可以使用組織所提供的軟硬體設備,對資料保護也是最佳方式。