在家上班連wifi,卻讓客戶資料、公司機密外洩⋯為什麼?怎麼應對?

在家上班連wifi,卻讓客戶資料、公司機密外洩⋯為什麼?怎麼應對?

很多人以為,只要能夠連上網路、利用視訊會議工具,居家工作就不成問題,卻讓公司暴露於危險之中。當遠距工作成為常態,資安觀念必須內化為企業DNA,才不至讓企業在疫情衝擊下,再蒙上一層資安陰影。

5月初台灣資安大會,許多警示及提醒仍言猶在耳,本土疫情卻突然升溫,全國進入三級警戒狀態。

首當其衝的,除了觀光餐飲業,資訊服務業及製造業也是哀鴻遍野。疫情影響下,企業必須面臨異地辦公或分流上班的緊急措施。但就在政府呼籲企業主動放寬員工居家工作(Work From Home)的同時,企業所面臨的挑戰,卻絕非只是能否召開視訊會議如此簡單。

很多人以為,WFH就是將原本在公司做的工作搬回家做,所以,只要能夠透過網路連回公司,只要能透過Microsoft teams、Cisco Webex、Google Meet、Zoom等各種視訊會議平台將大家連在一起開會,居家工作就不成問題。

但事實上,透過家中寬頻網路或是手機,經由開放網路接取互聯(Open Internet Access),除了有連線品質的考量,其中風險也會大幅升高。因為駭客可能透過外部網路輕易連接進入企業內部,或是在資料傳遞過程進行複製或竊取。這些都將讓企業在遭受疫情無情衝擊之下,又蒙上一層資安威脅。

過去一年多,已有針對WFH的資安防護方案被提出,但基本資安觀念的建立和強化資安實體的防護也同等重要:

1. 許多企業已有的「虛擬專用網路」VPN(Virtual Private Network)是必要防護,但並不等於萬無一失。即使只允許使用VPN接取企業內網,若沒有良好的管控機制,反而容易成為關鍵破口。

2. 缺乏統一、嚴謹的資料存取政策是企業通病。企業使用網路及電腦進行資料處理已是常態,但資料存取限制卻鮮少有統一規範,而WFH更容易造成資料外洩與遺失。

3. 不要對任何網路或資訊巨擘懷有幻想與迷信。別相信將資料放在「公有雲」就萬無一失,也不要以為花了大錢添購了強大的軟、硬體就不會出事。所以,「上雲」和所謂「最新解決方案」都不能保證絕對安全。

當然,基於上述的觀念調整,若能有更全面地落實已有的資安防護措施,一定會對企業的資訊安全有所幫助,但更重大的挑戰是:當WFH成為常態,資安需要的已不是員工在哪裡工作,而是該被內化成一種企業DNA,才能真正大幅降低企業曝險的機率。

企業員工容易有的資安迷思

這也許是多數企業老闆及主管不知道或不想面對的真相。當企業發生資安事件,員工通常會有的反應是什麼?

1. 慘了~以後上班再也不能隨便上網了!
2. 哇~mailbox的容量一定又要被減少了!不知道又有多少信會被擋!
3. 真是的~這些IT人員太弱了!管東管西還是防不住,早就說這些不管用啦!
4. 哼!老闆自己都不遵守規矩,只有我們這個不行、那個不准,沒用啦!
5. 吼!還好我沒答應加入那個team,不然今天就倒大楣了!

其實,一般企業因為對資訊安全不夠重視,沒有給員工清楚的溝通與要求,因此,許多企業員工對資安都缺乏正確的認識,特別是:員工大多不認為公司的資安與他個人有關,普遍認為:「資安是公司或IT的事,不關我的事!」、「資安就是要限制一大堆,只會造成我的不方便!」、「我們公司這麼小,不可能中啦!」、「寧可做其他的事,也不要去負責資安,吃力不討好!」

可以想像一下,一般企業資訊人員在公司的占比是多少?除了專業的資訊服務公司,一般企業對資訊專業人員的投資都不會太多,卻要求他們同時兼職負責資安工作。試問,這怎能讓員工對資安不產生上述誤解呢?而當員工普遍存在這樣消極以對的迷思,公司的資安自然無法落實。

企業主管對資安存在的誤解

資訊是企業運作的核心競爭力之一,但企業的經營管理階層中,資訊部門卻未必是核心的決策者。這一點,從企業是否設置資訊長(CIO)這個職務、CIO是否直接報告給CEO,這兩個指標可以看出。事實上,國內企業真正設置專責CIO的比例偏低,而且多數企業的IT主管並非直接報告給最高決策主管CEO。

這代表,多數企業並不認為資訊相關的事務屬於公司重大決策的範疇,也就理所當然地將其歸類在「行政管理」或是「財務管理」相關類別裡。由CFO或是其他高階管理人員兼管,而這也就形成了企業組織的框架:IT屬於二級單位,IT部門之下又再設有保護IT系統的資安人員。

但是作為企業的領導者,應該進一步思考的問題是:以前述組織架構來看,負責資安的IT人員所制定的管理制度,或是需要遵守的資安規範,能落實到組織中嗎?特別是層級在資安人員之上的諸多長官,會落實嗎?其實答案已經不言而喻。

要打破長期存在於企業主管對於資安的錯誤定見,有下列幾個觀念必須突破:

1. 資安不該隸屬於資訊部門之下,可以平行或高於資訊部門為佳。因為資安必須檢視資訊部門是否落實作業規範,並做好應有的防護規劃。

2. 多數企業缺的不是資安的設備和軟體,而是觀念與制度。最常見也最容易突破的企業資安漏洞,多數存在於企業連外網路與資訊系統的管理鬆散,包括:弱密碼管理強度、裝置存取限制寬鬆、內外網路缺乏實體隔離、帳號管理過多例外,而這些例外多數是因為主管的要求。

3. 透過電子郵件進行的社交工程,是最低價卻最有效的駭客滲透手法。但企業進行社交工程演練最大的阻力,卻往往是來自內部主管人員。

4. 資安必須是公司管理層的政策制定與落實執行,是每個部門主管的共同職責,而非僅是資安部門或IT主管的KPI。故此,要落實企業的資訊安全,先要所有主管建立正確的資安觀念。

企業應該有的正確資安觀念

簡單的說,過去多數企業因為視IT部門為後勤單位,也將資安當作是對資訊系統的強化保護與管理。但事實上,資安涉及的卻是企業的整體作業程序、員工的網路使用行為、公司的資料保密與存取機制、公司持續營運與應變等策略與制度。

唯有健全的內控制度,以及對全員資安觀念持續進行教育訓練,最後加上合理的資安軟硬體防護架構,才能真正做好資安工作。

 

本文轉載自商業週刊

聯繫數聯資安,我們將依據您的需求給予最佳方案
我可以協助您 請勾選需要諮詢的產品
我可以協助您 請填聯絡資料,專人將與您聯繫
聯絡人姓名
電子郵件
聯絡電話
公司名稱
產業別
我可以協助您 請填送出資料,專人將與您聯繫