Home Office資訊保安多陷阱 企業及早準備 避免洩密中毒
原文刊於信報財經新聞「StartupBeat創科鬥室」
黃家偉提醒企業負責人,資料外洩或違反私隱條例,甚至是歐盟《通用數據保護條例》。(何澤攝)
為防新型冠狀肺炎疫情蔓延,政府部門及不少私人企業均安排員工在家工作。然而有電腦專家特別提醒,企業應盡早制定資訊保安政策,若日後出現任何突發情況,員工進行流動辦公時,亦不致措手不及。
香港互聯網註冊管理有限公司(HKIRC)行政總裁黃家偉認為,企業安排員工在家工作,須為員工提供足夠支援,別以為只要把重要檔案隨便儲存在一枚普通USB記憶棒,帶回家就可繼續趕工,畢竟在公眾地方遺失機密時有所聞;再者,員工家中的私人電腦、WiFi網絡若存有保安漏洞,黑客便有機可乘。
USB手指或成播毒媒介
黃家偉直言,不少員工家中的私人電腦,保安工作相對馬虎,「可能連防毒軟件都沒有,軟件永不更新,而且老婆仔女共用同一部電腦。就算你上網相當謹慎,難保小朋友不會胡亂登入不知名網站,繼而令電腦感染木馬程式。」
較理想的做法,是企業為員工提供手提電腦,配以行動裝置管理(Mobile Device Management)系統,萬一電腦不幸失竊,即刪除所有檔案;若企業未有電腦供員工在家工作,折衷方法是利用雲端硬碟,或具加密功能的USB記憶棒存取檔案,並為重要檔案設定密碼。
但要留意,USB記憶棒有機會成為傳播電腦病毒的途徑,並在私人和公用電腦之間游走。黃家偉認為,企業可考慮虛擬桌面(VDI)讓員工以私人電腦遙距取用公司電腦,「即使員工的私人電腦有病毒,也不至於對公司系統帶來影響。」
家用WiFi非萬無一失
他提醒,上述措施涉及一定成本,「可是一旦資料外洩,或會違反私隱條例,甚至是歐盟《通用數據保護條例》(GDPR),造成的衝擊遠超你為員工添置電腦的所需成本。」
黃家偉強調,Mobile Working已成趨勢,企業必須就員工彈性工作地點,制定資訊保安政策。(何澤攝)
然而,單靠硬件配套,不足以完全避免資料外洩風險。不少人喜歡到咖啡店利用公眾WiFi上網工作,其實此舉可免則免,一來咖啡店人來人往,並非處理敏感資料的理想場所;二來若有黑客假冒無線網絡名稱(SSID),扮作咖啡店提供的WiFi網絡,用戶不虞有詐連線上網,就有機會被盜走敏感資料。
家用無線網絡亦非百分百安全,黃家偉警告,WiFi密碼必須定時更換,別沿用路由器(Router)的預設密碼,「否則,倘若左鄰右里住了一個黑客,他一樣可輕易入侵你的網絡。」他稱,若毋須使用網絡鏡頭(Webcam),緊記將之關掉。同時,不要在私人電腦上,儲存登入公司賬戶的密碼。
防毒軟件防火牆不可缺
黃家偉表示,雖然今次疫情跟上次沙士爆發相隔足足17年,但公司爆水管或旁邊單位火警,同樣會令辦公室停止運作一段時間。他強調,Mobile Working已成趨勢,企業必須就員工彈性工作地點,制定一些資訊保安政策。
舉例說,要求員工用以處理工作的電腦,必須安裝防毒軟件及防火牆,而且軟件須適時更新;同時釐清員工能否在私人電腦的硬碟內,儲存公司重要資料,「若員工將私人電腦帶到電腦舖維修,公司資料就有機會外洩。」
最後他建議,企業要為員工在家工作提供足夠培訓,就涉及的資訊保安問題作定期演練,了解員工執行上會否遇到困難。
採訪、撰文:陳子健
延伸閱讀:
科技初創視像會議「腦震盪」
支持 StartupBeat
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
