政經時事 > 焦點新聞

防範藏在細節的闇黑部隊 員工是最重要的防火牆

2019-07-10
作者: 林宏達

▲5G時代,萬物連網將逐步實現,企業投資新技術時,也要把風險帶來的成本列入考慮。(圖/吳尚哲攝)

5G、AI、工業4.0,各種新技術被當成公司成長的萬靈丹,事實卻是,台灣公司因資安出事上報的次數,愈來愈頻繁。面對資安風險,公司的經營者該怎麼辦?

趨勢科技台灣區暨香港區總經理洪偉淦建議,公司董事會成員在投資科技時,除了搞清楚投資新技術帶來的成本下降等好處,更重要的是,一定要多問1個問題:「風險是什麼?」

基本功 員工務必遵守資安政策

最怕執行單位被董事會下達的命令限期綁住,不敢告訴長官,應該再多花幾個月時間,把漏洞補好再正式上線,卻因為時間不足而帶來高風險。例如,對銀行業來說,網路銀行或電話銀行能為消費者帶來便利,但1個發生在國內的真實狀況,就是因為銀行系統過於老舊,卻能直接下命令轉帳,最終變成駭客攻擊的漏洞。

資拓宏宇資深顧問鄧永瑞則觀察,在資安工作裡,「人,才是最重要的。」管好資安除了投資技術,還要管好人和流程,員工遵守資安政策,是最重要的防火牆。如果員工還是隨便點開陌生郵件,甚至拿公司帳號、密碼,1字不改的申請外面的網路服務,都會帶來風險。

多重盤點 讓駭客容易現形

微軟資安技術長凱利(Diana Kelly)則表示,微軟在內部管理制度上,有許多和資安相關的細節。例如,1個平常在微軟總部工作的員工,如果出外出差,要連線回總部,就必須提供多重認證,才允許他連回總部電腦;而一般員工,能接觸到什麼樣的資訊,都經過仔細的盤點,每個人只接觸需要的資訊;這麼做的好處是,每個人在網路世界裡的行為,都被清楚規範,如果有駭客真能攻進系統,他的異常行為也會馬上被辨識出來。

微軟也頻繁在內部舉辦紅隊演練,由匿名員工扮演駭客,寄信測驗其他員工反應,如果被「釣魚」成功,就必須再上課訓練,用管理手段降低資安風險。

延伸閱讀:

闇黑部隊入侵 無聲的國安危機

谷歌、臉書乖乖把錢匯入「他的」帳戶 東歐駭客「代收」廣達38億驚奇

電腦病毒太猖狂 連醫生也被耍了?

台灣部隊 靠「駭客學」挺進世界杯

防止駭客入侵 專家教你自保4招

TOP