按 Enter 到主內容區
:::

TWCERT-電子報

:::

遠距辦公的資安威脅與防護

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-06-30
  • 點閱次數:732
遠距辦公的資安威脅與防護

1.簡介
2.遠距辦公潛在的資安問題
3.國內企業的情境與議題
4.資安防護機制
5.分析與建議


  • COVID-19疫情迫使企業必須考慮遠距辦公,遠距辦公的工作區域可能在家中或任何可透過遠距連線完成工作的地點,辦公設備則包括員工自有和企業配發的公有設備。
  • 遠距辦公增加了資安的潛在風險,一旦遭受惡意攻擊,行動裝置可能成為跳板,或感染惡意軟體,進而影響內部系統,甚至可能因某些人為因素導致機敏資料外洩。
  • 國內遠距辦公的使用情境與議題,從企業組織的資訊系統角度探討,可分為「事務型應用系統」及「內部應用系統」兩大類別,如何因應並制定政策則因產業別有所差異。
  • 在保險、證券金融業皆有相關公會或組織進行規範的制定,而科技業則因其核心商業機密而有個別更為嚴格的防護機制。
  • 隨著網路威脅不斷變化,資訊部門應意識到遠距辦公的存取策略,須隨著新風險的產生而進行調整,才能在遠距辦公環境中保持資料的安全。
  • 在資安防護上則從政策制度、設備管理、資料保護、網路管理等方面探討,不僅應訂定完整的遠距辦公政策,還應獲得組織內各階層的理解與支持,隨時讓員工了解掌握,方能提升制度規範的落實。

一、簡介

COVID-19疫情迫使企業必須考慮遠距辦公的工作情境,遠距辦公的工作區域可能在家中或任何可透過遠距連線完成工作的地點,辦公設備則包括員工自有和企業配發的公有設備。

據國內機構調查指出,美國民眾遠距辦公比例57%,而我國因應疫情遠距辦公的企業比例為41%。許多企業雖因疫情關係不得不採用遠距辦公,但實施後對企業帶來的正面效益,反而讓企業提高了持續推動的意願。

正因為遠距辦公已是時勢所趨,許多資安議題因應而生,不得不提高警覺,進而採行防範措施。遠距辦公除了設備與工作場域的差別外,其作業模式也呈現多樣化,例如僅是遠距線上會議,或是可遠端存取企業行政系統,甚或涉及機敏性資料等。遠距辦公的實施程度,亦取決於企業數位化的程度,現今的企業在數位化的推動上多數已有著墨,但在資安的面向上,遠距辦公的衝擊更是強烈,也是遠距辦公在執行上所必須重視的環節。

TOP

二、遠距辦公潛在的資安問題

通常辦公室會有實體門禁、防火牆、入侵偵測、資料外洩防護等資安防護措施,一旦實施遠距辦公,員工透過VPN或其他方式連線至企業組織內部存取資源,則有相當程度的管理問題需要考量:

  • 大量且密集的VPN加密傳輸連線需求,對既有網路設備造成巨大負荷。
  • 多樣性的遠距工作環境與設備,讓管理監控機制難以應付。
  • 原有的工作流程不適用於遠距辦公情境。
  • 臨時開放的系統功能,需要補強授權存取控制機制。
  • 設備攜出在外,難免遺失或遭竊。

就資安角度而言,設備用於遠距辦公比在辦公室內使用,更具資安風險。潛在的資安風險略述如下:

  • 惡意攻擊入侵:
    • 當企業組織開放遠距辦公時,一旦員工的行動裝置遭遇惡意入侵,駭客很容易以該設備作為跳板,進而危害到公司內部網路的安全。
    • 惡意軟體是遠距辦公面臨的一個重大威脅,當員工透過脆弱的遠距辦公設備與企業組織內部或外部廠商通訊時,可能導致惡意軟體向外擴散,從而加劇網路攻擊的嚴重後果。
  • 機敏資料外洩:
    • 當遠距辦公設備遭惡意入侵後,駭客可透過惡意軟體在公司內部網路尋找機敏資料,可能導致大規模資料外洩。
    • 在COVID-19疫情期間,由於遠距辦公的開放,使企業組織比以往任何時候都更需要保護機敏資料。當員工離開防護嚴謹的辦公環境後,一旦缺乏安全意識,很容易洩漏公司內部敏感資訊。
    • 由於員工疏忽導致遠距辦公設備丟失或被盜、不當使用設備(如使用弱密碼、透過不安全的無線網路熱點上網)等,也是導致企業組織機敏資料外洩的原因之一。

當企業組織難以監控遠距辦公設備的使用情況,以及未能掌握設備是否遵守企業組織政策與使用規範,開放遠距辦公就成了企業組織面臨的資安難題。

TOP

三、國內企業的情境與議題

探討國內企業遠距辦公的資安議題,要從企業組織的資訊系統角度進行,這些資訊系統可分為「事務型應用系統」及「內部應用系統」兩大類別,說明如下:

  • 事務型應用系統:為一般辦公聯繫作業所需的應用系統,如電子郵件、行事曆、通訊錄等;
  • 內部應用系統:企業組織營運所需的重要系統,如ERP企業資源規劃系統、CRM客戶關係管理系統、採購及付款系統、支付清算系統、研發資料庫、生產系統、薪資系統等含有機敏資料的系統。

為方便員工日常聯繫溝通使用,大部分企業會允許遠距辦公裝置存取事務型應用系統。然而對於涉及敏感資訊的內部應用系統,則禁止遠距辦公裝置存取,或另訂相關的系統存取管控政策,例如:需要事先申請,並透過帳號密碼、存取權限設定、開放使用的時間或時段、記錄系統存取稽核日誌等方法嚴格控管。

遠距辦公開放與否和企業組織的產業特性十分相關。許多物流運輸業允許員工使用行動設備,透過公司開發的Apps提供客戶服務,提升員工工作效率。保險公司、房仲業等因業務性質需要即時回應客戶,大多允許員工、業務代理人或經紀人除公配辦公設備外,也可以使用個人設備處理公務。

目前國內部分產業已有員工自備設備使用規範,這些規範與其處理態度,可做為遠距辦公實施策略參考,舉例如下:

金融保險相關產業

我國產物保險商業同業公會所制定的「財產保險業辦理資訊安全防護自律規範」,其第五條就規定各會員公司應訂定使用行動裝置(含BYOD)之相關規範,並且應至少每年檢視一次,內容至少包含下列項目:

  • 行動裝置管理。
  • 行動裝置使用人員管理。
  • 行動裝置之安全控管。
    • 使用者必須透過事先申請審核後,行動裝置始可連接公司內部網路。
    • 應訂定行動裝置連網安全規範。
    • 針對客戶或敏感資料應建置加密存取管制。
    • 使用行動裝置時須遵守公司相關規範。
    • 應訂定遺失處理程序。

科技業

視營業祕密為核心競爭力的高科技業者,需要穩定與安全可控的工作環境。平時就已嚴格控管辦公設備,在考量遠距辦公的多樣性和複雜性後往往轉趨保守,但迫於疫情仍需實施遠距辦公,其做法更為嚴謹,概略如下:

  • 開發特殊規格的行動設備供員工使用,這些設備通常已把可能會妨害企業組織營業機密的功能拿掉,包括攝影鏡頭、錄音功能、無法任意安裝Apps等,僅剩下撥電話及發簡訊等必要功能,並且加入防護與監控機制。
  • 對於員工日常的出入口則安裝金屬探測門,以防止員工或訪客攜帶未事先申報的智慧型手機、隨身碟、筆記型電腦等設備進入或離開廠區。

另一方面,一些較開放的高科技業者則允許員工的遠距辦公設備,可以存取特定系統或網域。為了防止商業機密外洩,業者會嚴格監控設備的使用軌跡,並對監控過程留下的證據,如使用日誌嚴加保存,以利事後調查分析。

在Covid-19疫情影響下,無論是遠端上班、分流上班或是分區上班,員工對行動設備的使用有更大的需求,遠距辦公的非常時期必須對公司的資安政策進行調整修訂,以便讓員工在家辦公的同時,兼顧資安與營運需求的平衡。

TOP

四、資安防護機制

由於開放遠距辦公可能導致的各種資安問題,建議企業組織可從以下各個管理層面進行檢視與調整,以減輕遠距辦公所帶來的風險:

政策制度面

  • 訂定完整的遠距辦公政策,並取得組織內各階層的理解與支持。
  • 隨著網路威脅不斷變化,資訊部門應意識到遠距辦公的存取策略須隨著新風險的產生而進行調整,才能在遠距辦公環境中保持資料的安全。
  • 提供遠距辦公設備相關安全意識之培訓,包括遠距辦公設備的資安風險,以及設備遺失或遭竊時即時通報流程與程序。
  • 明確讓員工知道資料安全對企業組織的重要性,一旦違反遠距辦公政策可能導致的風險及後果。

設備管理層面

  • 除了每個遠距辦公設備都應被註冊及授權外,不管是員工自有或企業配發,企業組織還需要了解員工可以透過何種方式存取內部資料。此外,一旦員工離職應即時取消遠距辦公設備的存取權。
  • 規定所有遠距辦公設備應安裝行動裝置管理程式,以便企業組織對可能妨害營業祕密的行動裝置功能進行管制。
  • 企業組織也應對遠距辦公設備的應用程式進行管控,確保惡意軟體不會透過員工的遠距辦公設備竊取公司機密。
  • 為員工提供身分識別與存取管理解決方案,通過強制使用多因子身分驗證,確保遠距辦公設備不會因為暫存密碼,而讓設備持有人可以輕易存取企業機敏資料。
  • 規定連接內部網路或儲存公司機敏資料的遠距辦公設備應進行全機加密,防止設備遺失時資料被不法讀取。
  • 此外強制遠距辦公設備使用防毒軟體、使用高強度密碼等措施,強制更新應用程式、並且密碼要符合公司規範,也是企業組織應考慮的最低標準。

資料安全

  • 對內部伺服器的機敏資料進行加密,為不可避免的外洩做最好的準備。一旦資料離開伺服器,應確保資料處於被加密的狀態。
  • 將應用程式及機敏資料只儲存在安全的服務器而不是遠距辦公設備上,一旦發生遠距辦公設備遺失或遭竊,可降低資料外洩的風險。
  • 為員工提供最小的存取權限,降低資料外洩的風險,並為日後必要的調查限縮資料分析範圍。
  • 讓資料在存取、編輯、儲存或共享等過程都可自動追蹤管理,使合規性變得更容易。

網路管理

  • 建議企業組織為網路設置不同安全區域,劃分為公共或訪客網路、辦公室網路及安全且受限的敏感網路,並將這些網路設置在安全且強大的防火牆設備後面,以限制不同安全區域對機敏資料的存取。
  • 定期審查網路隔離政策及測試安全機制的有效性,以降低內外部威脅所帶來的風險。

遠距辦公資安防護機制以檢核表形式整理如下表,提供快速的依循參考。

表1、遠距辦公資安防護機制表

表1 遠距辦公資安防護機制表

資料來源 : 本計畫整理

TOP

五、分析與建議

從實務面而言,訂定遠距辦公政策、制定各種規範相對容易,但要讓員工確實遵守這些政策及規範卻很困難,這對於缺乏遠距辦公經驗的企業組織來說尤其如此,因此,應加強員工教育及資安培訓。此外,設備的螢幕鎖定、啟用生物辨識功能、設備不應「越獄」或以其他方式破壞設備的原始狀態、軟體及應用程序應更新修補、只安裝信譽良好的可信賴軟體,及建立資安事故回應機制等,都是企業組織應採取的資安防護措施。

開放遠距辦公除了因應疫情影響以外,也為企業組織帶來了顯著的效益,包括提高生產力、吸引和留住人才以及降低營運成本。但是,只有在企業組織可以監控遠距辦公設備的使用狀況,以及員工確實遵守企業組織遠距辦公政策與使用規範的情況下,這些商業效益才會實現。擁有適當專業知識、領導力、政策和戰略的企業組織可享受遠距辦公所帶來的好處,惟前提是需要制定遠距辦公相關規範並採取積極作為,以便在員工使用便利性與安全監督機制之間取得平衡,維持企業組織既有的競爭優勢。

TOP

回頁首