5月初台灣資安大會,許多警示及提醒仍言猶在耳,本土疫情卻突然升溫,全國進入三級警戒狀態。
首當其衝的,除了觀光餐飲業,資訊服務業及製造業也是哀鴻遍野。疫情影響下,企業必須面臨異地辦公或分流上班的緊急措施。但就在政府呼籲企業主動放寬員工居家工作(Work From Home)的同時,企業所面臨的挑戰,卻絕非只是能否召開視訊會議如此簡單。
很多人以為,WFH就是將原本在公司做的工作搬回家做,所以,只要能夠透過網路連回公司,只要能透過Microsoft teams、Cisco Webex、Google Meet、Zoom等各種視訊會議平台將大家連在一起開會,居家工作就不成問題。
但事實上,透過家中寬頻網路或是手機,經由開放網路接取互聯(Open Internet Access),除了有連線品質的考量,其中風險也會大幅升高。因為駭客可能透過外部網路輕易連接進入企業內部,或是在資料傳遞過程進行複製或竊取。這些都將讓企業在遭受疫情無情衝擊之下,又蒙上一層資安威脅。
過去一年多,已有針對WFH的資安防護方案被提出,但基本資安觀念的建立和強化資安實體的防護也同等重要:
1. 許多企業已有的「虛擬專用網路」VPN(Virtual Private Network)是必要防護,但並不等於萬無一失。即使只允許使用VPN接取企業內網,若沒有良好的管控機制,反而容易成為關鍵破口。
2. 缺乏統一、嚴謹的資料存取政策是企業通病。企業使用網路及電腦進行資料處理已是常態,但資料存取限制卻鮮少有統一規範,而WFH更容易造成資料外洩與遺失。
3. 不要對任何網路或資訊巨擘懷有幻想與迷信。別相信將資料放在「公有雲」就萬無一失,也不要以為花了大錢添購了強大的軟、硬體就不會出事。所以,「上雲」和所謂「最新解決方案」都不能保證絕對安全。
當然,基於上述的觀念調整,若能有更全面地落實已有的資安防護措施,一定會對企業的資訊安全有所幫助,但更重大的挑戰是:當WFH成為常態,資安需要的已不是員工在哪裡工作,而是該被內化成一種企業DNA,才能真正大幅降低企業曝險的機率。
企業員工容易有的資安迷思這也許是多數企業老闆及主管不知道或不想面對的真相。當企業發生資安事件,員工通常會有的反應是什麼?
1. 慘了~以後上班再也不能隨便上網了!
2. 哇~mailbox的容量一定又要被減少了!不知道又有多少信會被擋!
3. 真是的~這些IT人員太弱了!管東管西還是防不住,早就說這些不管用啦!
4. 哼!老闆自己都不遵守規矩,只有我們這個不行、那個不准,沒用啦!
5. 吼!還好我沒答應加入那個team,不然今天就倒大楣了!
其實,一般企業因為對資訊安全不夠重視,沒有給員工清楚的溝通與要求,因此,許多企業員工對資安都缺乏正確的認識,特別是:員工大多不認為公司的資安與他個人有關,普遍認為:「資安是公司或IT的事,不關我的事!」、「資安就是要限制一大堆,只會造成我的不方便!」、「我們公司這麼小,不可能中啦!」、「寧可做其他的事,也不要去負責資安,吃力不討好!」
可以想像一下,一般企業資訊人員在公司的占比是多少?除了專業的資訊服務公司,一般企業對資訊專業人員的投資都不會太多,卻要求他們同時兼職負責資安工作。試問,這怎能讓員工對資安不產生上述誤解呢?而當員工普遍存在這樣消極以對的迷思,公司的資安自然無法落實。
企業主管對資安存在的誤解資訊是企業運作的核心競爭力之一,但企業的經營管理階層中,資訊部門卻未必是核心的決策者。這一點,從企業是否設置資訊長(CIO)這個職務、CIO是否直接報告給CEO,這兩個指標可以看出。事實上,國內企業真正設置專責CIO的比例偏低,而且多數企業的IT主管並非直接報告給最高決策主管CEO。
這代表,多數企業並不認為資訊相關的事務屬於公司重大決策的範疇,也就理所當然地將其歸類在「行政管理」或是「財務管理」相關類別裡。由CFO或是其他高階管理人員兼管,而這也就形成了企業組織的框架:IT屬於二級單位,IT部門之下又再設有保護IT系統的資安人員。
但是作為企業的領導者,應該進一步思考的問題是:以前述組織架構來看,負責資安的IT人員所制定的管理制度,或是需要遵守的資安規範,能落實到組織中嗎?特別是層級在資安人員之上的諸多長官,會落實嗎?其實答案已經不言而喻。
要打破長期存在於企業主管對於資安的錯誤定見,有下列幾個觀念必須突破:
1. 資安不該隸屬於資訊部門之下,可以平行或高於資訊部門為佳。因為資安必須檢視資訊部門是否落實作業規範,並做好應有的防護規劃。
2. 多數企業缺的不是資安的設備和軟體,而是觀念與制度。最常見也最容易突破的企業資安漏洞,多數存在於企業連外網路與資訊系統的管理鬆散,包括:弱密碼管理強度、裝置存取限制寬鬆、內外網路缺乏實體隔離、帳號管理過多例外,而這些例外多數是因為主管的要求。
3. 透過電子郵件進行的社交工程,是最低價卻最有效的駭客滲透手法。但企業進行社交工程演練最大的阻力,卻往往是來自內部主管人員。
4. 資安必須是公司管理層的政策制定與落實執行,是每個部門主管的共同職責,而非僅是資安部門或IT主管的KPI。故此,要落實企業的資訊安全,先要所有主管建立正確的資安觀念。
企業應該有的正確資安觀念簡單的說,過去多數企業因為視IT部門為後勤單位,也將資安當作是對資訊系統的強化保護與管理。但事實上,資安涉及的卻是企業的整體作業程序、員工的網路使用行為、公司的資料保密與存取機制、公司持續營運與應變等策略與制度。
唯有健全的內控制度,以及對全員資安觀念持續進行教育訓練,最後加上合理的資安軟硬體防護架構,才能真正做好資安工作。
本文轉載自商業週刊
