行動辦公室步入主流 資安管理相形重要 (2009 Infosecurity Europe 歐洲資訊安全科技展系列文章之2)

農人用黑莓機在其麥田原上，記錄田原面積；牧羊人拿著iPhone對綿羊耳朵上的標籤照相存檔。當他們運用智慧型電話，管理其『原野資產』時，走在倫敦金融區的路上，若沒有一隻智慧型手機，你恐怕會被認為是從侏儸紀時代來的。

行動電話技術在近幾年推出各種不同的應用方案，讓其成為小型隨身電腦。但相對地，其所存在的資訊安全遭受威脅，已成為檯面上必須要解決的棘手問題。電影『不可能的任務』中，男主角總被同事背叛；當全球經濟衰退，在現實生活中，更有可能出現販賣情資的變節者。他們因經濟的壓力，而願雙手奉上公司價值億萬的產品機密、客戶資料甚或內部財務資訊等。

2009年的Infosecurity Europe歐洲資訊安全科技展主辦單位Reed Expo，勵展博覽的資安科技研究調查團隊，於09年4月底，在每天有1千萬人出入的倫敦地區的火車站，針對通勤族進行訪問調查：什麼樣的酬庸條件下，你會願意將公司的機密資訊出賣給陌生人？

根據調查結果，有37%的受訪者表示，只要對方付出100萬英鎊（約新台幣5,200萬元），他們就願意把對方想要的機密資料賣掉。從另一個角度看，讓人欣慰的是，有2/3的人為了保護名節與飯碗，不敢冒險出賣公司。

而讓人擔憂的是，68％的受訪者認為，想要偷走公司的機密資料是輕而易舉的事情；而88％的受訪者表示，他們每天經手的公司資訊都是具有相當高的價值的。在這樣的情況下，又加上裁員風與失去飯碗的壓力，如果遇上了操守有問題的員工，或他正面臨家中嗷嗷待哺的小孩、房屋貸款與卡債重擔而忠誠度動搖，企業是不是就會因此被變節者出賣？

處處便利處處洩密？

也許你不帶午餐盒出門，而手機、iPod、和任何MP3播放器、DS、以及數位相機，已經是許多人每天出門的必備工具。今天公司有慶生會，或者哪個同事辦公室內耍寶，大家拿出手機或數位相機東拍西拍，然後往Flickr、Facebook上面到處貼辦公室裡的照片，於是，電腦螢幕上的原始碼就這樣被貼出去給全世界看了。

端點安全管理服務與解決方案供應商Lumension Security，其策略與企業發展資深副總裁Mike Rogers，在09年歐洲資訊安全科技展中接受《資安人》訪問時表示，功能繁多的消費型行動設備已經讓許多企業面臨資安上的管理問題。很多企業都會要求員工使用公司配給的手機，但因重重加密限制，例如不能打私人電話或傳簡訊，以及禁用照相與上網功能等。員工們對於複雜的資安關卡感到厭煩，也怕自己一旦離開這家公司後就會與產業失聯，因此許多人身上必備兩隻手機—繼續用個人的行動電話聯繫有關公司的事務等。

Rogers說，讓企業頭痛的是，這些儲存在各式行動設備的資料，到底該如何區分那些是公司或個人的？他強調，遺失手機或筆記型電腦，是企業最常發生的事情，如何找回或緊急處理在個人移動設備中的機密資料，就是一個大問題。再者，就算員工不是竊取資料，他們把資料存在個人的移動設備，無論是行動電話、筆記型電腦，甚至是iPod等，其最主要的目的是為了記錄個人工作成就，讓自己在談判下一個工作機會時有更多的籌碼在手。

英國的驗證資安產品廠商SecurEnvoy的共同創辦人Andrew Kemshall則說，若員工會把手機和筆記型電腦一起遺失，有心人士就會交叉比對兩個設備的內容，找到空隙而竊取個人資料或公司文件與密碼等。甚至進入公司的系統竊取資料。更糟糕的是，某些個人或公司資料可能就會被盜用，造成個人或企業更大的損失。

向手機內建的社群網站定時朝聖的資安隱憂

社群網站在已經是許多人的『數位殿堂』。根據防毒軟體大廠，Sophos的資深技術顧問，Graham Cluley表示，許多公司已經很頭痛員工利用上班時間到Facebook, Twitter這些社群網站『朝聖』，不但已經嚴重影響工作效率，許多人因為使用公司的手機，花好幾個小時瀏覽社群網站，回應或更新他們的照片或資料等，造成電話費用暴漲，影響網路通暢和公司資源的浪費。

Cluley說他們常發現，很多人用手機在公共場所與受話方旁若無人似的高談公司的機密。『現在更奇怪的是，有不少人會用社群網站和公司同事或廠商聯絡傳達信息與留言，反而不用電子郵件聯繫，就這樣將公司正在進行的業務行為，甚至是公司組織架構，都在社群網站上被一覽無遺。』Cluley指出，公司資料與機密不僅僅外洩，還會被不肖的外界份子拿來做社交工程詐騙或釣魚的工具。
Cluley對『資安人』表示，社群網站因為成長太快，其資安架構還不夠健全，所以被惡意程式攻擊的事件不斷發生。在使用手機瀏覽這些被攻擊的網站後，再與公司的電腦同步，在沒有做好資安的防範下，就可能讓病毒或惡意程式進入讓企業的電腦系統竊取資訊。

照相手機隨時拍隨時偷竊洩密

手機內建照相功能為生活帶來色彩，但也為企業帶來黑白的惡夢。SecurEnvoy的Kemshall說，一般的工廠都會禁止攜帶手機或相機進入廠房。但有些公司未思考到辦公室環境也須加以限制使用任何行動產品。若沒有做好辦公室內使用照相手機的規範，員工為了避免被追蹤到下載公司檔案，會改以利用照相手機對螢幕拍照竊取資料。另外，就算員工是不經意的在辦公場所拍照，也有可能造成公司正在研發的產品樣本、動線環境的照片，被貼在網路相簿或社群網站上，外界就可窺探判斷公司內部營運規模等。
Mike Rogers表示，甚至有些公司對於訪客的規範也不夠嚴謹，讓訪客將具照相功能的手機帶入辦公環境裡面。如果來者不善，也會對公司的資安造成威脅。例如偷拍螢幕與公司動線，就等於是在竊取公司的機密。

管理行動辦公室：規範，是最好的良方

根據Gartner Group的報告，在2010年將會有50％的企業導入行動辦公室系統。西方國家鼓勵員工在家工作，一週到公司上班2或3天，或到不同國家與城市進行業務或駐點服務是常有的事。當前經濟委靡狀況下，委外給自由接案人以減低人事開銷，也讓員工有更多在『行動辦公室』，例如家中、咖啡店、圖書館、書店等戶外空間工作的機會。如何規範這些正職或臨時員工妥當地使用行動設備登入公司內部資訊環境，是企業亟需導入的重要管理守則。

『世界上沒有神奇法術可以解決行動設備的問題，重要是在規範與管理策略，以及教育員工如何一起保護他們共同生產出來的資產。』以硬體DNA 作為資安管理的法國資安廠商MobileGov執行長Franois-Pierre Le Page說。而Kemshall強調，『要讓公司上下明白，這並不是不信任，而是對所有人的貢獻的保護工作，不是只看到懲罰。』

『資安管理也必須要落實本土化策略。』安全弱點管理供應商Qualys的董事長兼執行長Philippe Courtot說，遠東市場在資訊安全管理與技術的導入，還無法達到西方企業的規模與觀念。例如西方公司進入到大中國地區時，一定會將資安系統一併導入到當地市場並且本土化。然而，很多東方的企業都還是只在當地市場經營，在資訊網路規模上的國際化還有一段差距。『最重要的是觀念，一般的東方企業並不是很願意投資在這樣的軟體與服務。所以西方資安服務公司也必須重新包裝產品：將產品與服務規模縮小，減低價格，還要不斷教育東方企業客戶企業資安的重要性。』Philippe Courtot表示。

以黑莓機成功攻佔企業手機市場的Research in Motion（RIM），其全球行動安全管理服務事業群資深經理Sinisha Patkovic表示，一個國家的資安政策與法令會影響組織的資安管理與推展。『規範涉及到三個層面：法令、產業標準與企業管理守則。企業必須理解：需要保護的對象是公司的資訊與機密，』必須要求員工只能使用經公司授權與加密認證的行動設備。『最重要的是務必要讓資安管理層面的要求透明化，讓員工願意參與。』他強調。

至於數位相機和照相手機的管理規範，受訪者皆表示，許多企業，已嚴格規範員工與訪客禁止攜帶數位相機、照相手機及數位行動產品進入辦公區；有的企業甚至會要求對員工或訪客進行搜身，完全不能攜帶任何行動產品入內。同時，即時通訊以及社交網站管理功能在企業發給的手機上完全禁用。『行動設備的資安管理規範不能僅限於科技或製造業，是任何產業甚至學校政府單位都必須要做的。』MobileGov的Franois-Pierre Le Page強調。

讓手機創造高生產價值卻是可負擔的資安管理工具

強調低導入與管理成本，Tokenless—讓任何移動設備皆可成為資安工具的行動管理概念已經成為資安管理技術的趨勢。

Kemshall說，雙因素認證管理是能夠讓員工可以隨時隨地工作的管理辦法。讓企業直接利用手機作為行動辦公室Tokenless（無載具）的數位管理安全認證工具。每次要進入公司系統時，在外的員工就可以利用SMS提供的數位密碼，加上其他雙因子認證密碼，進入公司的系統裡更新管理資訊。Kemshall說，為了避免手機遺失，每一次SMS的數位密碼都會不同，就能夠避免惡意入侵。這一部分，對於token載具的高管理成本望之卻步的中小企業是一大福音，因為整個行動資安的費用至少降低一半以上。

MobileGov的Digital DNA是一套對移動設備做資安管理的軟體，以其軟體辨識移動設備內的晶片其獨有的製造編碼以進行認證。也就是說，每個硬體都有自己的DNA，企業將這套軟體裝置在公司的管理系統或網路後，只要是經過Digital DNA閱讀到該移動設備的晶片製造編碼，就知道該行動產品能否在公司硬體或系統內使用的。企業無需使用費用高昂的Token，只要支付軟體費—幾乎是Token導入與管理費的1％不到，約一天半的導入時間，將許可的移動設備以Digital DNA認證作為企業Token。如果員工要使用經認證的手機要與家中的電腦同步或上傳下載資料，都將會被拒絕授權，因為其家中的電腦並非經過Digital DNA認證許可的器材。

Sophos的Graham Cluley說：『你必須要擁抱新世界，而非因噎廢食的排斥新科技。』在智慧型手機市場幾乎所向披靡的黑莓機，已經幾乎與時尚畫上等號，黑莓蘋果也逐步成為行動辦公室主流。因此，RIM已經幫助企業導入行動辦公室的資安解決方案。Patkovic表示，用戶希望的行動資安管理系統，是要具有即時管理，開放與具延伸性卻能有效保護公司資料。『平衡性，便利性，能創造高生產價值，是讓企業下決心導入的要素。但是，同時，絕不能因為嚴格於重重的關卡，讓員工排斥，降低產能，甚至被逼到去用自己的行動器材。』Patkovic說。『資安管理有些時候是難以口述形容，所以，要用淺顯易懂的文字使員工瞭解該怎麼做，讓管理層次透明化，企業就能享受行動辦公室的便利與更高的產能。』