
远程办公和信息隐私
新冠疫情带来工作方式的剧变,其中远程办公的兴起是最显著的变化之一。由于许多办公楼和工作场所关闭或限制人数,公司被迫采用远程办公模式维持运营,因此日渐依赖技术和数字通讯工具,如视频会议、即时通讯和项目管理软件。远程办公可以避免远距离通勤,且允许更灵活的时间安排,已经改变了许多员工的工作与生活平衡方式。随着远程办公的兴起,许多员工已经适应这一模式,将其视为未来工作的必要条件。同样地,许多组织也发现了远程办公的优势,有些甚至将其视为吸引新员工的潜在激励工具。 然而,也有组织发现远程办公存在一些潜在风险。如果您的组织需要处理敏感数据,如财务或医疗信息,您应采取强有力的控制措施保护客户信息,履行您在《金融服务现代化法案》和限制医疗信息发布的联邦法律项下的义务以及对客户的义务。哪些控制措施可以防止黑客(或掌握 IT 技能的好奇邻居)通过员工家庭网络访问这些信息? 家庭网络风险 任何 IT 专业人士都可以告诉您可能影响家庭网络或计算机安全的潜在风险。大多数用户通常不像其 IT 专业人士那样了解情况,因此可能没有同等的“恐惧”(或技术能力),无法充分保护家庭网络。在工作中用过家庭网络的几乎所有 IT 专业人士都可以证明,许多家庭互联网用户使用的路由器或其他网络设备均未设置密码保护网络(详见下文)。大多数家庭的调制解调器 / 路由器由有线电视和互联网服务提供商提供,带有默认密码。很多用户要么删除密码,要么将其改为更容易记住的密码(通常更容易破解)。 很多人愿意为了方便而牺牲安全或隐私(社交媒体、智能手机和大多数其他技术趋势的兴起已有证明),这不足为奇。所以,如果家庭网络没有密码强度要求,就会有很多人将密码设为“password”(密码)。1这种情形十分普遍,而全球最常用的密码之一就是“au4a83”。如果没有看出其中联系,请使用台湾地区键盘输入,通过您喜欢的翻译软件就会发现,它就是“密码”一词。事实证明,近 70% 的家庭网络密码都属于“使用普通软件几分钟就能破解”的范畴。2 人们应该留意企业敏感数据在这种环境下可能面临的风险。 虽然简单制定一项政策、确保远程办公员工家庭网络“安全”并不困难,但这又会带来什么实际后果?它是否涵盖可能导致无保护网络遭到入侵的所有方式?就像在您组织的主要办公室(或机房)内部一样,您可能面临下列风险: 无保护Wi-Fi网络:如果员工接入无保护Wi-Fi网络,其数据可能被黑客拦截和窃取。其中可能包括公司敏感信息,如登录凭据、财务数据和客户信息。 网络钓鱼攻击:居家办公员工可能更易受到网络钓鱼攻击,攻击者会使用欺诈电子邮件或其他方法诱骗员工透露敏感信息。其中可能包括登录凭据、财务数据和其他公司信息。 恶意软件攻击:恶意软件是一种旨在损害或利用计算机系统的软件。如果员工使用的计算机未充分安装杀毒软件(或杀毒软件未定期更新),其设备更易受到恶意软件攻击,公司数据可能因此遭到窃取或损坏。 实体安全风险:居家办公员工可能不会全面沿用办公室环境下的实体安全措施。例如,如果员工设备或信息在公共场所无人看管,或者员工家中失窃,那么他人就可能接触到这些设备或信息。 缺乏备份和恢复选项:如果员工设备丢失、被盗或损坏,可能没有备份或恢复选项来恢复重要数据,这可能导致组织永久丢失数据。 同时,这背后还存在许多潜在风险,如影子 IT、软件系统过期、防火墙配置不良,甚至出于方便使用或恶意复制目的未经授权将敏感数据传输至其他设备。这些威胁使得问题更加复杂,特别是考虑到三分之一的美国家庭存在计算机感染恶意软件的情况。3事实上,图 1 详细说明了远程办公与非远程办公导致的数据泄露之间的 100 万美元成本差额。 图 1:数据泄漏成本的平均差额 当然,除了远程办公带来的风险,您的组织在办公楼内仍将面临其他风险,如零日攻击、内部威胁和潜在第三方数据泄露风险。 管理风险还是谨慎平衡? 最棘手的问题是:“怎么办?” 在“完美”的世界里,我们可以制定特殊的家庭网络要求,确保组织掌控防火墙设置和 Wi-Fi 网络密码要求,且可推送软件更新和远程关闭设备,避免不法分子恢复数据。当然,如果我们谈论的是家庭网络,这可能既不合法,也不可行。 组织要求远程办公员工就其家庭网络实践特定安全做法,其合法性将取决于具体情况和适用法律。通常,组织有权实施安全措施保护其机密信息和知识产权,但对远程办公员工,特别是使用个人设备或家庭网络的员工,组织能够要求的范围往往受到限制。例如,可能存在隐私法律,限制组织可对个人设备要求的安全措施类型。 正如您可能意识到的,这条思路可能是个无底洞,无法就研究本地隐私法律、修改雇佣协议以及监控 / 执行私人设备安全要求涉及的经常开支,带来相称的风险管理成果。 因此,绕过这条思路、直接发放公司设备可能是更好的选择。相比直接允许员工使用个人家庭设备,公司根据雇佣协议和可接受使用政策,由 IT 部门先行设置,再发放使用,这种方式具有诸多明显优势。公司发放的笔记本电脑或平板电脑可以带有远程关闭功能、自动备份服务和监控软件,以便...