如何加強遠程辦公的網絡安全
由於 COVID-19 的大流行,遠程辦公或在家工作已成為支持機構業務連續性的其中一項應急措施。 隨着遠程辦公技術不斷發展,許多機構允許其員工在家工作,一方面能應對疫情,另一方面可提高工作效率並靈活運用工作時間。然而,一如其他新技術,遠程辦公或可能帶來潛在安全風險。在利用遠程辦公技術,例如各種影片會議、即時通訊軟件的同時,亦要留意相關安全措施。
物理安全
當員工把機構便攜式設備,例如手提電腦帶離辦公室,失竊風險便有可能隨之增加。在酒店或咖啡店等公共場所工作時,我們固然要提高警覺。即使把手提電腦暫時存放在家中或在私人汽車上,亦難以完全排除失竊風險。所以,為了減低資料失竊風險,我們應該盡量避免把敏感資料儲存在便攜式設備內,例如手提電腦、USB 隨身碟等等。如須儲存,除了使用强登入密碼外,亦應把敏感資料加密,以防不法之徒規避系統登入程式,直接讀取媒體,例如硬盤上的資料。
安全使用影片會議軟件
隨著對在線工具的依賴日增,機構更容易受到網絡威脅。一方面,在線工具提供各種簡便功能,另一方面亦帶來各種潛在隱患。
遠端控制是影片會議軟件常見的功能,可以讓你請求遠端控制另外一位與會者的電腦桌面,包括對方的滑鼠和鍵盤。此功能提供遥控電腦的便利,亦能實現遠程 IT 支持。然而,取得控制權的人猶如能直接控制對方機構網絡上的一台電腦。鑑於此,該台電腦的擁有者應該確保獲授權人在該台電腦上的活動受到監察,以防出現未經授權之系統和數據訪問。
攝像鏡頭能讓與會者在線上傾談,提高效率。不過,大家亦要留意攝像鏡頭會不會拍攝到一些敏感資料,例如與會者身後辦公室白板上的項目資料、系統網絡圖等等。
屏幕共享方便與會者即時文件共享,但是,也有機會不經意透露其他資料,例如,電腦桌面上的其他檔案圖示(icon)、名稱、內容,或者其他已開啟的敏感電郵等等。為避免洩漏資料,可以選擇指定要分享的視窗,而不是整個電腦桌面。
正如舉行一般會議,我們當然不想有人未獲邀請進入影片會議,影響會議內容的保密性。我們可以考慮使用等候室,控制與會者何時加入會議,或進一步設定與會者必須進行身份驗證,輸入密碼等等。
使用虚擬專用網(VPN)和多重身份驗證(MFA)
機構的網絡一般會有防火牆來監控流量並阻止惡意活動。可是,家裡的無線網絡便未必具備與機構內部網絡同等的安全等級。為提高網絡安全,可以考慮使用 VPN,防止網絡竊聽。配合多重身份驗證,例如使用密碼和一次性密碼(OTP),有效減低機構網絡遭入侵的風險。
文件加密
員工在遠程辦公事時,往往需要傳送載有敏感資料文件給合作夥伴或同事。他們應該考慮把文件加密,以防網絡犯罪分子在網絡上攔截文件,從中竊取機密,盗用身份等等。
安全意識培訓
網絡罪犯總是在調整和改進欺騙機構員工和竊取敏感資料的方法。因為缺乏安全意識的員工,往往是網絡安全最弱的一環,所以機構應該定期進行安全意識培訓,解釋機構的網絡安全政策,提醒員工他們在遠程工作時可能面對的威脅,例如釣魚(phishing)電郵、勒索軟件(ransomware)、虛假網站等等。員工如有懷疑發生網絡安全事故,應立即向有關部門報告。
如需協助網絡安全意識培訓,可到 Cybersec Training Hub網絡安全員工培訓平台 了解免費資源。
遠程辦公提高生產力的同時亦帶來潛在網絡安全風險。我們應該經常留意網上保安警報、保安建議等等,採取適當安全措施。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
