隨著現代工作模式的演進,遠端工作如今變得越來越普及,然而在辦公室以外的地方工作,也帶來各類安全隱憂。
如何因應不斷演進與分散的工作場所並滿足員工需求,BSI 資訊暨安全技術全球實務總監 Stephen Bowes 的建言如下。
1. 實體安全
由於員工平常不習慣隨身攜帶辦公設備,往來辦公室和住家時遺失企業資產的可能性會增加。因此,在加強使用者憂患意識的同時,應一併考慮結合了資產遺失防護、遠端資料刪除功能及可能的地理位置的資產管理技術。
住家安全也應該被納入考量。建議組織提供一份住家資訊安全檢查清單,檢查項目包括確保 Wi-Fi 密碼安全性,其複雜度應為 WPA2 或更高,必要時鎖定 SSID 或硬體位置,並使用警報器和實體鎖等實體安全設施。檢查清單的結果應提交給資訊安全人員,以進行審核或提出補救建議。
在辦公室中,您身邊有值得信賴的同事和團隊成員,但遠端工作的情況則不見得如此。特別是在涉及機密資訊時,應使用防窺螢幕減少視角,以防未經授權的資訊洩漏。
2. 軟體修補程式
在組織內部網路中,或使用者遠端工作且可以使用 VPN 的情況下,管理者可以將軟體更新推送到用戶端裝置,監視其配置狀態並採取補救措施。若需要長時間在家工作時,管理員不妨考慮將用戶端設備從使用 Microsoft 或其他集中式修補程式部署,切換為直接使用 Windows Update,並將用戶端配置設為自動下載和安裝。
3. 密碼
密碼的使用方式近來眾說紛紜,建議各位不妨利用長度合理的密碼。設定用戶專用的密詞(passphrases)則可提供更高的安全性。設定設備安全性應採取相應措施,包括螢幕逾時、螢幕鎖定、個人身份確認碼(pin codes)和/或生物辨識安全性功能(倘有相關功能可用時)。此外,應考慮調整密碼到期的規定,以免在遠端工作計畫期間,密碼到期剛好而無法連接部分系統。
4. 加密
無論資料位於何處,加密始終是組織保護資料時應完成的關鍵步驟之一。如果設備落入不當人士之手,設備上的磁碟加密可以保護資料避免遭竊用。全稱為「虛擬私人網路」的 VPN 則可保護使用者,不論是在與組織網路建立連結,或自非信任的網路上網時。我們認為應該使用其他額外的加密功能,例如電子郵件加密或安全的文件傳輸工具,以確保資料不論是在靜止、傳輸、共享還是使用時,都能受到保護。另外,還應該認真考慮如何有效且安全地將多因子驗證(Multi-Factor Authentication. , MFA)權杖/設備,配發給沒有參與「在家工作計劃」的員工。
5. 身份和特權帳號管理
「確保只有經過驗證的使用者,並使用經過批准的設備,才能存取需經授權的資源」,是保護組織資訊安全的關鍵。我們建議推行「身份提供者」(identity provider),以確保透過集中式的管理入口網站管制使用者,並啟動進階的安全功能,例如多因子驗證、政策管理,帳戶和應用程式的開通和通報。「特權存取管理」適用於系統存取權限較高的使用者,可啟用的功能包括最小權限(least privilege)、即時管理(just in time),以及可促成更多安全和風險意識的使用者行為模式基準線等。另外也應該評估系統的授權及容量要求,確保新進員工加入「在家工作計劃」時不會致耗盡系統資源。
6. 備份
資料係由各端點裝置上的使用者所創造,然後轉移至雲端容器、伺服器或資料中心等儲存庫。儘管組織的大部分重心都放在這些資料儲存庫上,但仍應考慮保護各端點上的資料。一旦資產遺失、遭竊或面臨勒索軟體攻擊,則提供新的設備資產並使其回復到事件前水準所需的復原時間,將導致生產力損失。我們建議各公司完成資料流程(data mapping)演練,了解資料所處位置,對其進行相應的分類,並檢討對應的備份政策,以確保公司在資料遭刪除、損毀、中斷或處理時,仍具有資料恢復能力。
7. 網路連結
在持續擴展的遠端工作模式中,網路連結的好壞是成功轉型的關鍵。公司應該建立使用者的網路連結,在確保連結速度和品質兼具的同時,還能符合現今使用者完成工作所需的水準。如果網路服務斷線,公司的復原方案可借助 3G 和 4G 行動網路以補強 Wi-Fi。此外,若因共享網路而導致特定區域的員工人數增加,且網路連線數量成長,組織也應注意是否會遭到網路服務供應商(ISP)的降速。
8. 網路攻擊
不肖份子會抓住一切機會,盡可能利用遠端工作的情境模式,因為他們主要的目標是人,而非系統。當人們防護最薄弱的時後,不肖份子最可能趁虛而入。隨著媒體、政府和其他來源不斷釋出新聞消息,詐騙者可輕易隱身其中,假冒這些機構寄發電子郵件,或是引用新資訊或不實的網站資料,偽裝成無害的官方網站。當前監控 URL 的最佳作業指引,就是將游標停在連結上,查看原始網址,以斷定網址的有效性;不要打開您不熟悉的電子郵件;大致而言,您應該對源自網際網路的任何內容和消息抱持零信任(zero trust)。
9. 衛生
在當前時刻,遵循官方對個人衛生的建議尤其重要。這不僅適用於遠端工作的團隊成員,也適用於他們周圍的人士,以及他們所使用的設備,因為衛生環境已成為當前最脆弱的環節。假如無法顧及個人衛生,一旦員工生病或必須隔離一段時間時,將在生產力、資產與資料等方面造成損失。
10. 政策管理
組織中的人員可利用政策和程序,確保他們能以有系統、可重複和可報告的方式運作。當工作型態轉為變遠端模式時,集中式的政策管理和執行方式將可被繼續延伸,我們建議組織不妨考慮一種以雲端為基礎的政策管理平台,藉此執行資訊安全、資料保護和其他相關政策,並能夠回報相關執行成果。最後,請試著盡可能地減少改變以免內部混淆,並進一步營造有利遠端工作模式成功的環境。
