随着法规日趋完备、网络建设与应用渐趋成熟,以及软硬件技术的不断精进,企业信息安全的重要性,但也面临更为严峻的挑战。尤其是近年来,因为智慧手持装置的兴起,愈来愈多的员工,希望能使用自己熟悉的智能型手机或平板工作,BYOD(Bring Your Owe Device)的风潮也已经渐渐被企业所接受,但也因此衍生过去从未发生过的资安议题。
BYOD已成趋势 Shadow IT成资安缺口
NTT Communications Corporation BYOD项目副总三隅浩之(Hiroyuki Misumi)指出,由于智能型手机及平板计算机的规格及效能,已经接近个人计算机,携带又更为方面,尤其在行进间、零碎的等待时间或是小型会议或办公室的使用,智慧手持装置显然更能实现随时随地工作的目标,也让BYOD风潮蔚为风尚。
但在BYOD大行其道之际,三隅浩之也指出,“Shadow IT”的问题也开始延烧,因为许多自行携带智慧手装置的员工,其实并没有得到公司的认可。NTT发现,超过50%以上的员工会自行携带智能型手机上班,但只有20%左右是真正得到企业正式同意,在企业默许状态下使用的比例则为12%,值得注意的是,20%的使用者表示,所属企业根本没有任何的管制措施。
NEC资深副总裁山口昌信(Masanobu Yamaguchi)指出:企业必须正视BYOD的趋势已经成形,即早因应准备,才不会让“Shadow IT”蔓延,成为企业IT管理的阴暗死角。他认为智慧手持装置将成为企业IT系统的核心,这只是时间早晚的问题。“移动化优先”(Mobile First)的时代已经来临,我们正处在此一潮流当中。 山口昌信强调:“移动化优先”可协助企业员工在工作现场与企业IT系统迅速直接地连接,这将掀起企业IT系统的革命。而NEC Cloud Smartphone是实现“移动化优先”,同时又保证可以实现生产效率最大化的解决方案。 BYOD成攻击对象 企业应了解攻击模式
三阳工业经理陈春明指出,企业要导入BYOD,一定要做好事前准备,以及详尽的信息蓝图,才能在最短的时间,完成信息管理建设,企业也才能加快营运拓展的脚步,企业信息策略与架构,必须与企业策略相结合。
企业信息安全的防护措施,也应该要跟着企业发展及环境的需要与时俱进,不断调整。尤其在企业的业务流程,已经与网际网络难以切割,资料文件也已经大量数字化的趋势下,来自于网络的恶意攻击威胁,所造成的危害也变得更加严重。
值得注意的是,黑客的攻击对象已经开始从过去以政府单位为主,转而开始攻击企业。趋势科技资深技术顾问黄源庆指出,随着愈来愈多的企业导入BYOD,这些手持智慧装置,也已经成为进阶持续性渗透攻击(Advanced Persistent Threat;APT),非常喜欢锁定的对象。
F5 Networks技术经理纪文智指出,企业要让信息安全做得更好,一定要了解攻击行为的模式。目前常见的资安攻击手法,首先是从网络方面的攻击,主要是设法取得存取权限;其次是针对应用层次的攻击,主要目的是进行资料窃取,遇到这类攻击,资料本身是否做好就相当重要;最后是DDoS,主要目的则是让网站服务停摆。
纪文智指出,这些攻击方式,其实都有迹可循,企业也可藉此判断,应该采取的防护措施。大多数真正有威胁的攻击,其实是针对应用层次的攻击。纪文智表示,因为应用软件才是接近资料的大门,一旦资料被窃取,就可进行诈骗或财务转帐等动作,企业不可不慎。
注意内部控管 小心设备失窃
黄源庆进一步指出, BYOD因为使用范围非常大,很容易形成资安漏洞,让黑客有机可乘,也就成为商业黑客锁定的对象。台湾各界不管是政府或企业,作为都不够,防御能力都不够强。如夹带附件的社交工程电子邮件,是APT最主要的攻击方式,比例超过90%以上,而且发信单位常常会冒充政府单位或信息部门,用户可说是防不胜防。
事实上,许多企业营业机密,可能就会在员工不经意的状况下流出。根据商业管理协会(Institute of Commercial Management)研究报告指出,白领工作者平均每周处理11份机密营业文件,而且这些机密文件常常会在不必要的情况下曝光。报告指出,39%的工作者曾经将客户资料寄出公司,52%的员工曾在离职时,将工作资料带走;86%的员工坦承习惯性将邮件转寄其他人;26%的员工甚至会使用免费信箱寄送工作资料。
精品科技资安顾问许祐福指出,根据国际计算机安全协会报告(ICSA Security Report),60%的泄密事件,其实是来自企业内部,只有15%是来自外部入侵,这也代表企业对于企业内部信息机密的保护,还不是很周全。
除了内部员工因为调动或离职,没有做好交接或不慎遗失外,也有员工是因为对公司不满,而窃取资料,商业间谍也是资料外泄的原因之一。此外,员工出差及外派人员也可能会不慎将机敏档案外流,就连委外或合作厂商,也可能因为作业疏失、文件交换分享等因素,导致机敏档案处理风险发生。
虽然BYOD可以让员工使用自己熟悉的设备,提高工作效率,而且对企业主而言,还可以节省软硬件设备支出,以及另外花时间和金钱安排教育训练,但台湾二版高级产品经理卢惠光指出,在这些优势及便利下,相对的也隐藏了一系列的企业资料外泄跟安全性的问题。
卢惠光认为,BYOD资料控管的议题中,计算机遭窃是最严重的资安问题,因为装置一旦遗失,企业就无法作太多的控制,为了防患未然,防毒软件加入防盗功能有其必要。如利用手机中信任的sim卡名单,传送简讯指令保护移动装置的手机防盗功能,或是在公司计算机遗失时,可以登入网站利用笔记型计算机上的webcam实时监控正在使用笔记型计算机的人。
卢惠光更强调,愈来愈多的攻击,不但变得更加专业,病毒的隐密性也变得更高,不但不容易被防毒软件发现,这些病毒也会设法增加停留时间,以便有更多突破防毒软件屏障的可能,即使是已经注意到BYOD有安全隐忧的员工,也不代表就能高枕无忧。
协同操作要注意 法律规定要熟悉
除了从技术面设法克服BYOD可能衍生的资安问题外,企业也需要注意管理面的问题。嘉航科技工程技术副总经理陈威宏指出,企业拥有的数位档案数量愈来愈多,有如洪水一般滚滚而来,位档案的管理就像治水一样,一旦控管不当就会泛滥成灾。
陈威宏指出,数位档案不但无所不在,而且会透过各种系统或装置分享,而在使用或分享的过程中,就可能发生数位档案遭窃的可能。陈威宏认为,权限管理变得非常重要。
以产品开发为例,由于产品在开发过程中,常常需要与不同的部门交换信息,也让资料控管变得更加复杂,因此在不同的阶段,需要不同的权限控管,考量事项包括使用者的角色及群组设定、数据库的存放位置、物件的类别及状态。
值得注意的是,因为营业秘密的成立要件非常严格,许多企业认定非常重要的营业祕密,可能在进入诉讼程序时,却不见得能得到法院认可。勤业众信联合会计师事务所协理曾韵指出,企业如果要确保营业秘密能够受到法律保障,对于营业秘密的意义,尤其是法律上的定义,一定要有相当程度的了解。