多数企业居家上班「急就章」 果核数位提4大隐忧
新冠肺炎(COVID-19)疫情来得又急又快,迫使许多企业必须在短时间内就让员工在家工作;果核数位总经理丁玮明就指出,这段时间让员工在家上班看似可以快速解决企业业务端问题,但是多数都是急就章,当中也潜藏着4大隐忧。
云端协作验证机制薄弱多数企业现在都采用云端协作软体,好让团队可以一起进行专案,并做好内容管控;但是这一类的云端协作软体在权限的控管上,有可能因为人为失误让骇客有机可趁。或者是云端协作软体的验证机制过于薄弱,使得骇客可轻易地取得管控权,让公司资料有外泄问题。
网路连线存取不安全丁玮明表示,多数企业员工在家上班使用的设备都是家中电脑或自己的手机,但是这些个人设备并不是很安全,有可能先前就被骇客入侵,如果这个时候员工又使用自己的设备远端连线公司网路,就有资安疑虑。
资料放何处也成问题除了上述所提到的,有部分公司并没有配备电脑给员工使用,员工在家工作仅能用自己的设备;有些员工可能会将公司资料直接下载到外接式硬碟或是随身碟中存放。但是这一类的产品即便有加密机制,但也有可能潜藏后门漏洞,骇客如果破解了硬碟中的加密机制,一样有可能会让资料外泄。
钓鱼信件近期许多有心人士趁着这波疫情大赚黑心财;许多骇客也有可能透过钓鱼信件的方式,伪装成公司主管寄送的邮件,如果员工一时不察点入,装置有可能就会被植入后门,进一步窃取公司机密。
也因此,丁玮明建议企业,虽然因为疫情来得又急又快,逼得企业不得不在短期内找到需要的工具,但是仍需要秉持着3个面向去寻找产品。
确保服务安全性:人为开发工具中难免会有漏洞,但是企业在找寻服务时,应该要询问清楚,服务是否有统一更新机制,或者是什么样的情况一定要做更新;再者,企业导入软体时是先要做好弱点扫描,提升公司资料保密的安全。
服务加密机制完整:这些软体提供厂商都会保证工具具有加密性,但事实上,有可能只做了某一段的加密,而非完整加密;因此企业导入前,应该要求厂商提出完整加密说明,以降低导入风险。另外人员的验证也不能单一性,应该采取多因子认证方式,才能确保安全。
服务导入的长远思考:许多企业现在只有想到要解决短期性的问题;但事实上,企业要思考未来员工工作地会在任何地方,这牵涉到的不仅是单一产品的资安问题,内外部协同机制、安全性都是长期挑战;建议未来应该考虑导入数位办公室的概念,进一步提升公司的资料安全性。