置身於科技發達、網路普及的現代社會環境,企業對資訊保護的重視度也隨之增加,數位資訊(digital information)不僅儲存不易而且容易外洩,組織必需確認何種機密資料文件須加強保密措施,並如何以最佳典範達到目的,才能維持企業競爭優勢及資產保護。
電腦問世之初,世界並沒有因此發生巨大地改變,當時電腦的功用主要在於財務及交易分析,也就是所謂的結構性資訊,即便1980年代資訊科技與個人電腦開始普及,這樣的狀況也沒有改變,個人電腦充其量不過是一台精美的打字機。
但是,隨著網際網路(Internet)及企業內部網路(Intranet)的出現,資訊交流發展神速,員工輕而易舉地進入網路世界擷取大量資料及交換電子訊息,網路創造出許多嶄新地商業合作模式,如:視訊會議(video conferencing)、即時通訊軟體、線上聊天室…等,員工可於線上編輯文件,也就是大家耳孰能詳的維基百科(Wikis),企業可以透過網路會議(web conferencing)強化與客戶間的產品溝通及資訊分享,拜科技網路之賜,個人電腦成為一個儲存大量非結構性資訊的平台,資料外洩事件也跟著層出不窮。
資料外洩層出不窮 已成企業共同經驗
今(2011)年二月初,惠普公司(Hewlett-Packard)推出一款被視為有機會與蘋果iPad一搏的平板電腦,惟因惠普在一月中旬發生資安洩密事件,以致於原本被列為業界的年度大事,事實上卻不如預期般受到重視,其他科技公司如戴爾電腦(Dell)按照產品出貨時程推出由輝達晶片商(Nvidia)提供的繪圖晶片組,卻爆發資安漏洞,與惠普資安事件如出一轍。
另外,雷諾汽車(Renault)將三名涉嫌洩漏汽車設計藍圖的資深主管革職(雖然涉案人竭力否認),美國電視秀宣稱在舊報紙照片檔案發現可口可樂秘密配方,社群網站臉書(Facebook)發生個人機密設定凸槌,嚴重影響客戶財務資料,美國線上網路公司(AOL)一份內部有關公司策略發展文件意外曝光,要求網路及媒體記者毎天出版5至10篇文章支持及美化該企業。
還有,維基解密(WikiLeaks)創辦人朱利安、亞桑吉(Julian Assange)陸續揭露許多機密事件,並宣稱擁有美國某銀行前任總裁的筆電硬碟資料,當中包含幾十年前的電子郵件和附加檔案,令許多銀行家不寒而慄,這些機密資料若公開,將比美國國務院外交電報洩密事件更有殺傷力,一般普羅大眾認為亞桑吉指的是美國銀行(Bank of America),該公司也展開內部查核工作,調查是否有員工遺失筆電、硬碟是否有其他資料、可能的洩密管道…等。
維基解密平台的存在,提供組織機密資料一個免費的曝光管道,也增加了資料外洩的風險,以美國陸軍一等兵曼寧(Bradely Manning)洩密事件為例,曼寧被指控從軍網下載數十萬份敏感文件,再洩漏給維基解密,雖然,調查人員正追查對曼寧的指控是否屬實,但維基解密已從去(2010)年10月起揭露這些文件,其內容引起國際社會一片譁然。
除了本身就是機密資料的文件外,有些看起來似乎不那麼珍貴的資料,透過有心人士的拼拼湊湊還是可以從中窺探出商業機密(little bits add up),例如:業務會議日期、個人電話簿、市場看法及見解、以及個人最大成就…等,這些資訊都可能透露出重要商業機密,圖利競爭者,像是預知新產品上市時間、探索公司組織圖和成本架構,並據此推測長期行銷策略,以及探究營運流程與最佳實作典範(best practices)。
強化員工資安意識 謹記資料保護八大要訣
從上述事件可看出,資料外洩事件對企業、民眾、甚至是社會帶來的影響,企業不能輕忽資料保護的重要性,首先要確認各類文件的保存期間,資料存放時間愈長、累積資料量愈大,愈有可能造成資料洩漏的風險;其次則是確定文件的機密等級,哪一類文件屬於敏感資料、哪一類則是普通資料;第三是藉由不斷地溝通討論達成共識,找出需要保護的資料,以及發生資料外洩時的因應方式,與如何防止類似事件再發生。最後唯有透過持續地安全意識教育及訓練(security awareness training),並培養良好地安全習慣(good security habits),才能降低資料外洩的風險。積極有效作法如後:
一、識別證及門禁管理:
1、不要讓陌生人尾隨你通過門禁系統。
2、遵守一人一卡規定,禁止將門禁卡借給他人使用。
3、主動確認訪客或陌生人是否佩戴識別證。
4、訪客須全程陪同以防公司資訊外洩。
二、文件保護:
1、將所有公司資訊(含文件、簡報、海報等)分成四個等級,一般公開資訊、內部資訊、限閱資訊、機密資訊。
2、廢棄的機密資料請立即銷毀。
3、下班前,需收妥桌面文件(clean desk or clear desk)、鎖好文件櫃。
4、員工得知失竊資產事件,應即刻報告部門主管及安全部經理。
三、強化資訊及資產安全:
1、限制VPN連線終端設備,非公司電腦不得經由VPN連線至企業內部網路。
2、智慧財產相關資料不得存放於非公司設備中。
3、員工使用公司電子信箱寄發/接收/儲存私人訊息及機密資訊,必須在公司規定的合理範圍內。
4、員工未經許可不得攜出公司財產。
5、要求員工定期更改使用之系統密碼,密碼長度越長,越難被病毒破解。
四、會議室管理:
1、離開會議室時確保白板擦拭乾淨,不要留下任何機密之內容。
2、會議結束後,請確實將會議資料帶走並妥善處理。
3、會議室簡報架(flip charts)之內容應適當處置,以防資料外洩。
五、口頭討論及電話。
1、勿與家人或朋友談論公司活動或計畫。
2、資訊只給必須要知道的人知道。
3、請勿在公共場所談論公司事務,如:機場、飛機上、旅館大廳、停車場、餐廳…等。4、接到不明查詢電話切勿告知公司相關資訊,並告知主管及安全經理。
5、如接獲媒體來電或來訪,請勿發表任何言論或評論,直接轉告公司公關主管。
六、照相設備及訪客管理。
1、進入公司企業訪客,請主動出示筆電(行李袋)、照相器材等接受安全檢查。
2、主動詢問非本公司人員的身分及目的。
3、主動引導訪客至大廳總機或安全部門登記資料。
4、公司內禁止使用照相或攝影器材,如欲使用須通過申請核准程序。
七、電腦及印表機使用。
1、電腦須設置開機密碼、螢幕保護程式密碼及硬碟密碼鎖,確保資料不外洩。
2、離開座位前請先將電腦螢幕上鎖(亦即同時按壓Ctrl、Alt、Delete三個鍵)。
3、列印資料後請立即取回,若是影印資料記得帶走原稿。
4、隨時保護您的電腦安全,尤其在停車場,筆電很容易成為竊賊首要目標。
5、搭乘飛機時,千萬不要將筆電寄放行李托運,在機場通過安全檢查時,也要隨時注意隨身重要物品。
八、旅遊出差。
1、飛機上或公共場合,勿談論公事。
2、出差旅遊時,隨時注意個人筆電安全。
3、除非有絕對必要,請勿攜帶敏感性資料。
4、旅遊出差期間,公司電子信箱若設定自動回覆功能 (out of office assistant),儘量不要註明個人旅遊或出差起迄時間。
5、入住旅館時,請將筆電以安全鎖(cable lock)鎖好,以策安全。
6、談論公司私有機密資料或語音信箱時,勿使用類比電話(analog cellular) 或無線電話(cordless phones),請使用數位電話以維護安全。
7、謹慎使用公共電話及電報傳真機。
確保公司機密資料 維持企業競爭力
資料保護 從固若金湯轉變成漏洞百出 (From Safe to Sieve),過去五十年來,企業的資料存放在微縮影片,當時的財務、會計或檔案管理員會先將機密資料文件予以分類管理,再存放在機密文件櫃並上鎖,因此在以往那個年代,複製文件並不是一件輕而易舉的事。如今進入數位化年代,企業每天都在製造數位資料(如:產品設計圖、員工電子郵件…等),其可以任意複製儲存、彈指間便能送出的特性,要做到全天候監視掌控實屬不易。
此時惟有積極地尋求安全專家建議,以防堵駭客入侵,階段性地導入強而有力的管控機制,讓企業管理更加透明化,反而能獲得意想不到地成果,雖然有些人可能認為,只要採購資安軟硬設備就能保護資訊安全,實際上科技所能發揮防堵資訊外洩的效果不如預期,因為「人」不是科技設備所能管控的了。置身資安漏洞百出、層出不窮的年代,唯有強化智慧財產安全稽核、透過安全意識教育及溝通、管理團隊全力支持,方可達成企業公司資產保護,維持競爭力優勢。
(本文作者現為諾基亞西門子電信公司(Nokia Siemens Networks Taiwan)安全經理。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。)