
遠端工作和資訊隱私
新冠疫情帶來工作方式的劇變,其中遠端工作的興起是最顯著的變化之一。由於許多辦公室和工作場所關閉或限制人數,公司被迫採用遠端工作模式維持營運,因此日漸依賴技術和數位通訊工具,如視訊會議、即時通訊和專案管理軟體。遠端工作可以避免遠距離通勤,且允許更靈活的時間安排,已經改變了許多員工的工作與生活平衡方式。隨著遠端工作的興起,許多員工已經適應這一模式,將其視為未來工作的必要條件。同樣地,許多組織也發現了遠端工作的優勢,有些甚至將其視為吸引新員工的潛在激勵工具。 然而,也有組織發現遠端工作存在一些潛在風險。如果您的組織需要處理敏感資料,如財務或醫療資訊,您應採取強有力的控制措施保護客戶資訊,以履行《金融服務現代化法案》、限制公布醫療資訊的聯邦法律所規定的義務以及對客戶的義務。但哪些控制措施可以防止駭客(或有 IT 技能的好奇鄰居)透過員工家用網路存取這些資訊? 家用網路風險 任何 IT 專業人士都可以告訴您可能影響家用網路或電腦安全的潛在風險。大多數使用者通常不像 IT 專業人士那樣瞭解情況,因此可能沒有同等的「畏懼」(或技術能力),去充分保護家用網路。在工作中用過家用網路的所有 IT 專業人士幾乎都可以證明,許多家用網際網路用戶使用的路由器或其他網路設備均未設定密碼保護(詳見下文)。大多數家庭的數據機 / 路由器由有線電視和網際網路服務供應商提供,有預設密碼。很多用戶不是刪除密碼,就是改為更容易記住的密碼(通常更容易破解)。 很多人願意為了方便而犧牲安全或隱私(社群媒體、智慧手機的興起及其他多數技術趨勢均可證明),一點都不足為奇。所以,如果家用網路沒有密碼強度要求,就會有很多人將密碼設為「password」。1 這種情形十分普遍,而全球最常用的密碼之一就是「au4a83」。如果沒有看出其中關聯,請使用臺灣地區鍵盤輸入,再使用您喜歡的翻譯軟體就會發現,它就是中文的「密碼」一詞。事實證明,近 70% 的家用網路密碼都屬於「使用普通軟體幾分鐘就能破解」的範疇。2 人們應該留意企業敏感資料在這種環境下可能面臨的風險。 雖然簡單制定一項政策、確保遠端工作員工的家用網路「安全」並不困難,但這又會帶來什麼實際後果?它是否涵蓋無保護網路可能被入侵的所有方式?就像在您公司的主要辦公室(或機房)內部一樣,您可能面臨下列風險: 沒有保護的 Wi-Fi 網路: 如果員工連接沒有保護的 Wi-Fi 網路,其數據可能被駭客攔截和竊取。其中可能包括公司敏感資訊,如登錄憑證、財務資料和客戶資訊。 網路釣魚攻擊: 居家辦公員工可能更易受到網路釣魚攻擊,攻擊者會使用詐騙電子郵件或其他方法誘騙員工透露敏感資訊。其中可能包括登錄憑證、財務資料和其他公司資訊。 惡意軟體攻擊: 惡意軟體是用於損害或利用電腦系統的軟體。如果員工使用的電腦未充分安裝防毒軟體(或防毒軟體未定期更新),其裝置更易受到惡意軟體攻擊,公司資料可能因此遭到竊取或損壞。 實體安全風險: 居家辦公的員工可能不會採取如同在辦公室環境的實體安全措施。例如,如果員工的裝置或資訊放在公共場所無人看管,或者員工家中失竊,那麼他人就可能接觸到這些裝置或資訊。 缺乏備份和復原的方案: 如果員工裝置丟失、被盜或損壞,可能沒有備份或復原方案來恢復重要資料,這可能導致組織永久丟失資料。 同時,這背後還存在許多潛在風險,如影子 IT、軟體系統過期、防火牆配置不良,甚至出於方便使用或惡意複製意圖,未經授權將敏感資料傳輸至其他裝置。這些威脅使得問題更加複雜,尤其是考慮到三分之一的美國家庭存在電腦感染惡意軟體的情況。3 事實上,圖 1 詳細說明了因遠端工作造成的資料洩露與非遠端工作造成的資料洩露間有 100 萬美元的成本差額。 圖 1:資料洩漏成本的平均差額 資料來源:IBM4 當然,除了遠端工作帶來的風險,您的組織在辦公室內仍將面臨其他風險,如零時差漏洞、內部威脅和潛在第三方資料洩露風險。...