經理人觀點:資安不只是 IT 的責任!老闆沒有這 3 個作為,別怪員工上駭客的當

∎ 本文經作者授權原載於《經理人月刊》,點此看更多專欄文章

熱門韓劇《非常律師禹英禑》有一集探討到資安議題,劇中電商平台因遭駭客鎖定、進行「魚叉式網路釣魚」攻擊而造成千萬筆用戶個資外洩,遭到韓國廣播通信委員會重罰 3000 億韓元,同時陷入商譽危機。

釣魚攻擊至今仍是企業最擔心的資安攻擊手法之一,攻擊者透過社交工程(編註:透過騙術,使人泄露機密資訊)了解被鎖定用戶平日的聯絡對象、工作內容或說話口吻,假冒成工作往來對象寄送釣魚連結或夾帶惡意程式的附件,讓受害者防不勝防。

駭客常用錯誤拼寫、字符替換等方式製作假網域,將惡意程式埋藏在連結或附件中,誘騙使用者上鉤。 圖:自由系統

駭客常用錯誤拼寫、字符替換等方式製作假網域,將惡意程式埋藏在連結或附件中,誘騙使用者上鉤。 圖:自由系統。

 

「人」才是企業資安中最脆弱的一環

我們曾經協助某客戶執行釣魚信社交工程演練,結果發現:不到 4 小時,就有 6 成的員工會因為一杯星巴克,就把公司帳號和內部資訊交出去。這份報告讓其董事長馬上意識到員工資安意識的嚴重性。

只要有一個疏於防範的員工,駭客便有機會能夠找到資安破口,進一步竊取機密資料、盜用帳號、潛入內部環境並發動更大的攻擊。因此我們經常說, 再好的防盜系統,都擋不住有人開門讓小偷進來

防範「內賊」並不是唯一行動準則,解決資訊使用上「規範」和「人性」之間的衝突才是終極目標。曾經發生過另一個案例:某客戶主管擔心系統登入安全性,要求員工頻繁更換密碼,且每組密碼皆須符合高複雜度。結果主管自己因為記憶困難,便將多組密碼寫在便條紙上。我無奈問他:這不等於是把鑰匙放在門鎖旁邊嗎?其實這個問題很好解,企業只要善用單一登入(SSO)和多因素驗證(MFA)技術,便可讓員工只需記好一組密碼,且確保每次登入的都是員工本人。

∎ 延伸閱讀 | 經理人觀點:金管會資安法上路,未來資安長要如何有效組織資安戰力軍?

 

企業主該有的覺悟和作為

資安廠商 NordLocker 曾經建議企業如何防治攻擊,包含與資安專家合作建置資安防護機制、建立運作順暢的備份機制、偵測釣魚信件並加強 email 保護、重視資安法遵與稽核要求、加強企業內部教育訓練、時時保持軟體更新到最新版本等等。

表面上很多是技術問題,其實企業主扮演著更關鍵的角色,若是缺乏高層的重視和政策推行,資訊及資安部門實也孤掌難鳴。 因此企業主應該先做到這 3 件事:

 

一、資安即「保險」,管理和技術應並重

端正心態是第一要務。資安在數位紀元是有積極意義的投資發展項目,切記花小錢,省大錢。以損失期望值的觀念來評估可接受的災損極大值、釐清防護標的與重要資產之優先順位,並提撥合理的資安預算、擬定安全性管理策略,這些都是企業最高主管需要主動納入企業營運與管理方針的課題。

值得注意的是,千萬不可落入「資安就是砸大錢」的迷思。資訊安全的核心在於「解決問題」,也就是說「長期人為管理」才是關鍵,駭客的攻擊行為不斷在進化,加上每個產業也有不同的業態情境,絕對不是導入某項解決方案就可以高枕無憂。企業主必須慎選供應商和工具組合,跳脫產品功能,看到服務綜效。

 

二、平衡管理上的「便利性」與「安全性」

使用者在乎的是資訊系統好不好用、便不便利,但管理者關注的是控管權限、限制應用以避免門戶大開。舉例來說,有些公司會為了避免員工誤觸釣魚網站,在內網寫規則限制連線導向,這對員工來說便是「安全性凌駕方便性」的管理政策。尤其是當遠距辦公成為新常態,怎麼讓員工在家工作也能有效率又安全,更是值得重視。

值得注意的是,除了過度限制員工的使用行為,若未給予工作所需的環境和資源,如:企業級的協作雲端、順暢的網路,也可能造成員工跑去咖啡廳用不安全的 WiFi 連線,或是把機密資料上傳到個人雲端等鑽漏洞行為。除了可以降低他們「出怪招」的機率,提升生產效率的同時,也增加資訊人員對整體環境的控管能力。

 

三、提升員工資安意識

資安意識是現代工作者的數位素養,勢必要由企業主帶動這項風氣,定期舉辦相關宣導講座、教育訓練,都已是許多企業的例行公事。

很多資安意識都是由小習慣養成的,像是不要把密碼寫在便條紙上、不要把客戶資訊傳到 LINE。例如我們公司為了提倡「零信任」的網路安全概念,發起了一項非強制性運動:只要有人離開位置不鎖螢幕,同事就會用他的電腦發信請大家喝飲料。結果也確實養成員工盡責「保護」公司電腦和帳號安全的習慣。

 

大多數的企業經理人,平時不在意資訊管理或資訊安全的問題,以為這是IT和技術部門的責任,使用者更不會在乎資安問題。其實在資安這個議題上,反而更應該由企業主帶頭發起整個企業的資安管理流程。使用科技的是「人」,問題往往出在「人」身上,技術只能解決已發生的問題,或是資訊環境中的可知問題,但長遠來看還需要落實資安的政策管理,從人本角度出發建立平衡的資訊使用制度

 

∎ 延伸閱讀 | 金管會資安法上路,未來資安長要如何有效組織資安戰力軍?