隨著數位科技在90年代末期及20世紀初快速演進,網路攻擊及資料盜取事件也層出不窮。社群媒體的出現、行動裝置在家庭及工作場所中的普及,以及電子商務的快速成長,都成為不肖份子的新犯罪機會,善意使用者也可能因一時失察而付出昂貴的代價。
從企業組織的角度來看,網路安全早就不再只是IT部門的責任了。在企業組織中,每個人的日常作業皆需對網路安全有正確的觀念並受到規範,採用國際認可的網路安全系統設計標準並進行教育訓練,將可提升資料保護層級,同時也符合相關法規的要求。
找出能夠優化企業網路安全防禦力的標準是關鍵且實用的第一步,以下將從保護使用個人自帶裝置(Bring Your Own Device, BYOD)辦公的員工、快速成長的物聯網(IoT)安全到人為失誤,提出相關的應用標準與觀點。
自帶裝置(BYOD)的安全與管控
依據MarketsandMarkets的研究報告估算,BYOD及企業行動裝置市場在2021年前將成長至733億美元 。但市場對BYOD仍然有兩極的看法──有些人認為BYOD具有生產面的收益及節省成本的潛力,另一些人則是比較擔心資料被竊取的問題。
企業面臨風險的高低,取決於員工對於BYOD安全責任的了解。只是單純地假設全體員工都會做好自我教育以符合標準要求並不足夠,企業應當定期地將最佳實務對各部門/層級人員做溝通才是重點。如果希望達到最低程度的保護,可以開始考慮如何清楚地制定BYOD政策,像是根據ISO/IEC 27001資訊安全管理及ISO/IEC 38500(組織之IT治理)標準的規範。
企業要確保每個人員都能在相關程序上盡一己之力,同時也都能提供反饋與建議,在日常的運作中就要定期提醒員工「資安維護,人人有責」的觀念。最理想的狀況就是指派一些受過良好教育訓練的積極員工擔任種子人員,為彼此及組織多加留意,並在適當情況下提供諮詢及介入。
BYOD政策除了需與新進員工的教育訓練內容結合外,對於即將離職的員工,相關程序也該納入。特別是當員工非自願離職時,這部份的程序制定更顯重要。企業可針對離職員工要求其執行某些程序(例如刪除特定檔案等),同時也該釐清該程序是否能讓離職員工自行操作,或需要透過IT部門執行。一旦有員工確定要離職,就要迅速地依該政策內容執行相關程序。
在設計或更新BYOD政策時也該將相關法規的變化納入考量,例如:2018年5月上路的歐盟一般資料保護規範(GDPR),就針對企業在蒐集、處理、利用及傳輸個人資料的方式有了最新的要求,企業的相關政策亦必須遵循此規範。企業可以利用BS 10012:2017新版的個人資訊管理標準,展現自身在GDPR重要條款及要求上的個資保護能力。透過維護良好的管理系統來區分BYOD上的個人檔案或公司檔案,其效益不僅能降低資料外洩的風險,依據標準所制定的BYOD政策亦能持續提供最佳保護。
除此之外,員工在外的行為也應該納入考量。例如:當使用行動裝置的人員在公司以外的場所時,他們會認知道自己已經離開公司的資安政策/架構的保護範圍,因此對於網路釣魚這類威脅的敏感度將會提高(員工在接觸非工作相關的內容時,通常比較容易忽略安全責任)。
當真的發生失誤時,教育訓練是不可或缺的,這點請銘記在心。企業若能維護良好的「事件回應計畫」將可釐清責任歸屬,並且確保危害事件發生時能採取正確的方式來因應,其重點就在於依循可靠的標準持續進行風險評估及測試,以確保BYOD政策仍然有效。
隨著員工使用個人自帶裝置(BYOD)工作的普及,如何清楚制定
企業BYOD政策以降低安全風險,益形重要。
「安全標準」是讓IoT成功發展的關鍵因素
雖說物聯網(IoT)在效率、自動化及整體的優化這些面向上都為我們的生活帶來極大的改善,但仍需要發展專門的安全標準以保護個人、企業及他們的資料,因為IoT所涵蓋的範圍之廣,「網路安全」勢必成為一大挑戰。例如,為了最大化資訊分享及自動化的效率,企業可能會讓數個系統都接上網際網路(如暖氣、通風、冷氣系統、機械、大樓保全及感應器,除了連至IoT系統外,彼此之間也可能互相連結),這將會讓安全問題變得更為複雜、風險變得更大,同時也會增加駭客得以入侵的「後門」數量及方式。
西烏克蘭的電網在2015年曾遭受到駭客攻擊,進而造成25萬居民斷電長達6小時,該攻擊侵入SCADA(資料採集與監控系統)並中斷其遠端操作的功能。另一個近期案例,則是一個叫做「未來(Mirai)」的惡意軟體,該軟體在2016年底入侵許多防禦力不強的IoT裝置,並發動大規模的網路攻擊行動。而在數位領域之外,CAV(連網的自駕車)駕駛或車輛的安全可能在預謀的網路攻擊中遭到威脅,讓實體弱點顯而易見。
為了贏得大眾的信任,IoT市場需要廣為接受的網路安全最佳實務與標準。重要的是如何確保那些蒐集、分享與處理的資料之安全性,當然IoT裝置本身的安全性也同樣重要。每個月都有新的IoT產品上市,然而每家製造商確保其安全性的方法也都不同,若無法遵循像ISO/IEC 27001這類的國際標準規範,實在很難向廣大的市場保證在產品設計階段就有導入適當地的安全管控機制。
在這樣一個成長快速的新興市場,對於每一個準備好上市的IoT裝置,我們的確該思考這些問題,例如:
● 雲端服務供應商通過哪些資訊安全驗證?
● 製造商是否有花心力教育潛在使用者,讓他們獲得基本且重要的資訊安全認知,例如:變更預設密碼…?
● 資料傳輸是採用哪種加密標準?存取管控及使用者授權的方式又是如何?
BSI協同Hypercat聯盟共同開發了PAS 212物聯網資源自動發現的標準,而與其高度關聯的還有「智慧城市」標準,像是PAS 182智慧城市概念模型以及PAS 183智慧城市決策框架指南,都是值得被關注的重要標準。
PAS 182標準描述了如何定義來自許多不同領域(如健康、教育和交通)的資料含義,以便更容易地在各個領域間共享資料;PAS 183為適當的使用資料制定方針,並闡明了哪些類型的資料可以被揭露和共享,以及哪些又應該被保密,定義出各城市間資料分享的架構。
長遠來看,這些標準對於個人及組織如何因應及降低IoT風險是非常關鍵的。物聯網的成長是全球性的,而這樣的特質需要的是在安全標準的開發與維護上,能夠有一套放諸國際社會皆準的協定方式。
IoT所涵蓋的範圍之廣,「網路安全」勢必成為一大挑戰。
降低因人為錯誤所造成的風險
人為錯誤始終是企業網路安全風險中的一部分,而且往往無法被排除。每年層出不窮的資安與資料外洩事件中,人為因素佔大宗,所以「人」經常被視為是網路安全系統中最弱的一環。若是將人為因素納入考量的話,「以標準為本的安全意識」相關教育和訓練的重要性則不容小覷,還有可能將此人為因素轉化成正面能量。
犯罪份子經常尋求機會駭入個人系統而非企業的系統,因為他們了解社交工程技術對於那些可能沒有網路安全意識的忙碌員工是多麼有效。Wombat Security的「Beyond the Phish 2017」報告中顯示,有近四分之一(24%)的受訪者無法正確地回答如何識別網路釣魚威脅,這情況對駭客來說無疑是竊取對方資料和身分的絕佳機會。公司應該努力協助員工在網路安全鏈中成為更強大的一環──讓他們成為「人員防火牆」,而不是被動式的思維模式。特別是現今「在家工作」的概念盛行以及員工使用BYOD工作的普及,這點尤其重要,網路安全意識必須跨出企業辦公空間。
根據Wombat Security的研究發現,連一些簡單的資安保護措施,員工都普遍缺乏相關意識。例如:超過一半的美國員工認為,在他們認定安全的空間中,可以信任其開放的WiFi網路;安裝VPN的英國員工有40%說他們很少或從不使用它;甚至有超過一半的美國和英國員工會將筆記型電腦留在車裡,而不是帶著進餐館。該研究還強調了實體安全面常見的訓練需求,例如:保護門禁卡、紙本文件以及列有供應商詳細資訊的重要文件等。
企業可以透過網路釣魚攻擊的模擬和知識考核,準確地評估所需的教育訓練內容和當前面臨的風險,並根據資訊安全標準ISO / IEC 27001幫助企業依循國際認可的最佳實務作法來設計或架構出適用的訓練內容,為員工不同的業務需求,量身定制教育計劃。除此之外,還應考慮提供網路安全教育訓練的頻率。一年一次的方法是達不到預期效果的,同時也會讓員工覺得這種訓練可有可無。我們建議對員工進行簡短但頻繁的訓練,同時提供內容一致的教材。為了真正改變員工的行為,塑造出一個「實際參與」的企業文化也是相當重要的,因為當員工有機會提供反饋並提出建議,就更能夠提升他們的參與意願。
結語
一轉眼的時間,網路安全已經從模糊不清的概念,發展成各國間重要的議題;也從原本的學術性實驗,成為經濟、城市、政府層面的重要政策。與網路相連結的關鍵基礎設施,政府現在得24小時確保其安全;若無法有效地確保重要服務及資源,則數百萬人的生活將首當其衝。即使國際間已有許多網路安全相關標準被廣泛使用,在企業有限的人力與資源下,可參考依據BSI鑑別出的11個以ISO 27001為核心所延伸的網路安全關鍵標準,就能夠著手展開適合自身企業的網路安全管理升級計畫,確實降低相關風險。