如何加强远程办公的网络安全
由于 COVID-19 的大流行,远程办公或在家工作已成为支持机构业务连续性的其中一项应急措施。 随着远程办公技术不断发展,许多机构允许其员工在家工作,一方面能应对疫情,另一方面可提高工作效率并灵活运用工作时间。然而,一如其他新技术,远程办公或可能带来潜在安全风险。在利用远程办公技术,例如各种影片会议、即时通讯软件的同时,亦要留意相关安全措施。
物理安全
当员工把机构便携式设备,例如手提电脑带离办公室,失窃风险便有可能随之增加。在酒店或咖啡店等公共场所工作时,我们固然要提高警觉。即使把手提电脑暂时存放在家中或在私人汽车上,亦难以完全排除失窃风险。所以,为了减低资料失窃风险,我们应该尽量避免把敏感资料储存在便携式设备内,例如手提电脑、USB 随身碟等等。如须储存,除了使用强登入密码外,亦应把敏感资料加密,以防不法之徒规避系统登入程式,直接读取媒体,例如硬盘上的资料。
安全使用影片会议软件
随著对在线工具的依赖日增,机构更容易受到网络威胁。一方面,在线工具提供各种简便功能,另一方面亦带来各种潜在隐患。
远端控制是影片会议软件常见的功能,可以让你请求远端控制另外一位与会者的电脑桌面,包括对方的滑鼠和键盘。此功能提供遥控电脑的便利,亦能实现远程 IT 支持。然而,取得控制权的人犹如能直接控制对方机构网络上的一台电脑。鉴于此,该台电脑的拥有者应该确保获授权人在该台电脑上的活动受到监察,以防出现未经授权之系统和数据访问。
摄像镜头能让与会者在线上倾谈,提高效率。不过,大家亦要留意摄像镜头会不会拍摄到一些敏感资料,例如与会者身后办公室白板上的项目资料、系统网络图等等。
屏幕共享方便与会者即时文件共享,但是,也有机会不经意透露其他资料,例如,电脑桌面上的其他档案图示(icon)、名称、内容,或者其他已开启的敏感电邮等等。为避免泄漏资料,可以选择指定要分享的视窗,而不是整个电脑桌面。
正如举行一般会议,我们当然不想有人未获邀请进入影片会议,影响会议内容的保密性。我们可以考虑使用等候室,控制与会者何时加入会议,或进一步设定与会者必须进行身份验证,输入密码等等。
使用虚拟专用网(VPN)和多重身份验证(MFA)
机构的网络一般会有防火墙来监控流量并阻止恶意活动。可是,家里的无线网络便未必具备与机构内部网络同等的安全等级。为提高网络安全,可以考虑使用 VPN,防止网络窃听。配合多重身份验证,例如使用密码和一次性密码(OTP),有效减低机构网络遭入侵的风险。
文件加密
员工在远程办公事时,往往需要传送载有敏感资料文件给合作伙伴或同事。他们应该考虑把文件加密,以防网络犯罪分子在网络上拦截文件,从中窃取机密,盗用身份等等。
安全意识培训
网络罪犯总是在调整和改进欺骗机构员工和窃取敏感资料的方法。因为缺乏安全意识的员工,往往是网络安全最弱的一环,所以机构应该定期进行安全意识培训,解释机构的网络安全政策,提醒员工他们在远程工作时可能面对的威胁,例如钓鱼(phishing)电邮、勒索软件(ransomware)、虚假网站等等。员工如有怀疑发生网络安全事故,应立即向有关部门报告。
如需协助网络安全意识培训,可到 Cybersec Training Hub网络安全员工培训平台 了解免费资源。
远程办公提高生产力的同时亦带来潜在网络安全风险。我们应该经常留意网上保安警报、保安建议等等,采取适当安全措施。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
