對企業來說,危害資安最大的不是駭客,那些握有珍貴資訊卻可能無意間就洩漏的員工才是可怕的威脅。
科技本身是中立的,引起問題的往往是使用的人,而駭客再怎麼厲害,殺傷力也比不上最熟悉企業
一向被認為「駭客最沒興趣」的蘋果電腦,今年二月出現有史以來第一隻針對Mac系統攻擊的病毒。
駭客儘管可怕,但對企業而言,資訊安全最大的威脅其實不是來自駭客,而是內部員工。
員工無論隸屬哪個部門,每個人手上,其實都握有一部份對企業而言非常具有價值的資訊。駭客再怎麼厲害,殺傷力也比不上員工。
有的是無心之過。在辦公室用即時通訊軟體跟朋友聊天時,無意間說漏公司正在進行的大案子。或是在咖啡廳用筆記型電腦行動上網,處理待會兒要跟客戶見面的重要文件,去上個洗手間的幾分鐘內,卻不知敵對公司的業務員就坐在你後面的位子啜飲拿鐵。
若是有意的作為,情況就更嚴重。中華電信曾發生員工涉嫌將用戶資料賣給其他業者,可能做為推銷產品甚至電話詐騙之用;中國大陸中芯國際延攬台積電離職員工,並要求「帶槍投靠」,提供台積電半導體製程技術資料。這些事件,都殷鑑不遠。
更令老闆提心吊膽的是,上述情形都不是防毒軟體或是防火牆可以預防的。到底該怎麼辦?
企業必須思考的幾件事
《華爾街日報》建議,企業要保護資訊安全,主要必須思考兩個領域:「員工」以及「系統」。
對員工方面:
一、必須了解所有威脅資安的可能性,包括員工通常在哪裡、透過什麼方式洩漏商業機密,並評估若真的發生,將引起怎樣的後果。最好列出一覽表,一目了然。
二、雇用員工前必須調查其背景,過濾一些可能的危險人物。尤其人事部門、資訊部門、高階主管助理等較敏感的職位。
三、加強資安教育,讓員工了解資訊安全的重要,以及如何妥善處理每天來往的業務訊息,避免在無意間洩漏自己工作上的機密。
對電腦系統方面:
一、加密處理最敏感與最具價值的資訊,即使不該看到的人拿到檔案,也無法打開來閱讀內容。
日本祭出《個人情報保護法》
二、追蹤員工對電腦系統的使用,提早發現異常現象,即時預作處理。
美國所提出的做法,日本其實實施得更加徹底,甚至做到以立法保護資訊安全的程度。
《日經商業週刊》報導,由於去年接連發生多起企業用戶資料外流事件,包括軟銀BB寬頻用戶六六○萬人、金融機構三洋信販顧客一二○萬人的個人資料外洩等,賠償金額高達上億,引起日本社會震撼。因此,日本去年四月頒布實施《個人情報保護法》,嚴格限制企業對用戶資訊的使用以及嚴密保護措施,避免類似的情形再發生。
以日本黛安芬為例,做法包括:員工禁止使用筆記型電腦,六五○部全部回收;禁止在家裡上網存取公司內部資料;二三○○名員工全部必須簽署保密協定等,公司內部也積極實施資訊安全教育。
「便利」與「安全」的拉鋸戰
然而,科技本來就是兩面刃,一旦加以防堵,原本的效益隨即成為不便。《個人情報保護法》實施一年以來,由於維護資訊安全措施太過嚴密,一年來引起怨聲連連。
例如,經常必須海外出差的員工抱怨,這樣的資訊限制非常不方便,反而導致跟外國客戶談判時失去先機。嚴加防範垃圾郵件的結果,導致客戶傳來的重要訊息,往往也被當成廣告信給擋掉。嚴格保護顧客資料雖立意良善,卻使得運用資料庫來分析客戶消費行為,以強化行銷策略的效果大打折扣。
目前,日本已有《個人情報保護法》是否應適度修改的聲音出現。資訊專家認為,科技本身帶來的便利,不應因噎廢食,端看企業如何做最適度的運用,在「便利」與「安全」之間,衡量拿捏。為了保護資訊安全,將創造出更多為了保護資安而出現的新產品與服務。此外,限制使用科技,勢必得回頭去用成本較高的舊方法,結果是讓企業花更多錢。
研究機構Gartner資安部門認為,很多公司對資訊應用是處於無政府狀態,其實,企業應該對內實施合理範圍內的控管。因為,科技本身是中立的,引起問題的其實是使用的人。駭客攻擊可以由防毒軟體幫忙抵擋,然而,如何讓員工不要成為另一種更可怕的洩密者,卻是企業必須思考與積極面對的嚴肅課題。
資料來源:天下雜誌電子報→珍視台灣 (2006-05-22)
留言列表
藏經閣樓 (8)
