如果突然收到上司或是人事部門的同仁或部署要求進行確認關於業務信箱的帳號資訊,請提高警覺。
這個極有可能就是造成企業或團體的高額金錢被害的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC詐騙) ,該詐騙手法偽裝成經營幹部或是客戶方實際存在的人物,向公司員工傳送業務上的指示動作,請留意這是網路駭客事前準備好的帳號為了就是要讓收件者進行匯款,或是騙取業務資訊內容的一種詐騙手段。 繼續閱讀
分類: 企業資安
員工是最大的網路安全風險之一!企業所面臨的五個來自社群網站資安威脅
人的因素是社群媒體安全最被忽略的一塊,粗心大意的發文或是誤送的訊息都可能導致重大的資料外洩。駭客甚至會利用社群媒體上取得的個人資料來假冒員工,然後連進應該管制的資料庫或網路。
社群媒體持續地成長著。預計到2019年,使用者人數會達到27.7億。觸及率和影響力是社群媒體的特色之一,讓它不僅可以用來跟老朋友和同事保持聯絡,也一直被用在商業用途上。
社群媒體的使用方式也讓專業工作和個人生活的界線變得模糊,至少在網路世界是如此。企業會利用特定員工帳號來分享專業知識,以此建立更加平易近人的形象。而個人也會為了工作需求而在社群媒體上保持活躍。
然而,儘管這樣的連結性帶來了便利,卻也增加了安全和隱私上的風險。
社群媒體及其安全性的演變
了解社群媒體多年來有哪些改變,可以幫助企業確認需要更新的安全措施。社群媒體長久以來經歷了許多變化,讓平台更加容易使用也更加地吸引使用者。
以下是影響社群媒體持續變化的一些因素。
- 更多樣的內容。技術的發展改變能夠分享在社群媒體上的內容。從圖片到即時資訊,只要有網路跟簡單的按鍵就能夠分享大量的資訊。而直在現在,社群媒體仍在不斷地為其平台加入更多媒體支援。但由於多媒體更加難以審查,也可能造成非預期的重要資料被披露。
- 愈來愈多行動裝置用戶隨時隨地使用社群媒體。研究發現,手機佔數位媒體使用總時間的70%。智慧手機使得隨時隨地在社群媒體上保持聯繫成為可能,卻也可能暴露更多使用者的資訊,例如地理位置、時程安排及其他手機活動。
- 不斷增加的隱私問題和更加嚴格的資料法規。透過網路(尤其是社群媒體)所分享的大量資訊帶來更大的隱私意識。對隱私保護的追求也產生了更加嚴格的資料法規,其中最知名的是歐盟一般資料保護法規(GDPR)。社群媒體不得不變更隱私政策來解決這些問題,替使用者提供更多的隱私選項來滿足需求。
來自社群媒體的網路威脅
因為這些變化,人們對社群媒體的態度也有了改變。現在,人們對自己在社群媒體上的安全感可能有著不同的看法,就如同趨勢科技最近在Twitter上所進行的調查所顯示那樣。但儘管社群媒體存在有資安和隱私風險,使用者仍普遍選擇相信社群媒體,而且預計在未來也會如此。 繼續閱讀
深度探索新型態的隱私規範-電子隱私條例(ePrivacy Regulation,ePR):隱私與發展之間的平衡
隱私和資訊保護是近幾年熱門的議題,甚至近年歐盟也開始推行一般資料保護規範(GDPR)。自從GDPR開始實行,一些討論這些規範未來企業在保護電子通訊設備的衝擊從沒有停過——-也就是電子隱私條例(ePrivacy Regulation,ePR)。電子隱私條例目的是為了更新目前的隱私指令(通常又稱cookie law)並和當地的立法機關做法規上的統整。這原本是為了和GDPR的法規做串連和互補,但因為最終釋出的時間延後了,導致只能從不同面向去發展。
跟上電子資訊的創新的腳步
ePR的核心目標是讓使用者和企業端在面對電子通訊傳輸時有些本質上的改變。像是其中很重要的一塊規範主要是為了修正在使用cookie上的規則:常常瀏覽網站時會跳出多個cookie提醒和同意視窗去阻擋使用者瀏覽網站。這項新規定將會簡化同意的流程,並在瀏覽器設定裡集中管理以提升使用者體驗的品質。 繼續閱讀
真危險!台灣單月造訪惡意連結次數高 排行全球第三
趨勢科技呼籲企業應把關資安脆弱環節 確保達成 GDPR 所需的防禦
全球網路使用環境的威脅越來越惡劣,那些誘導使用者點擊瀏覽惡意網頁,進而下載惡意程式至上網裝置進行如盜取個人資訊等不法行為更是每天發生在你我的身邊。根據全球網路資安解決方案領導品牌趨勢科技 TREND LABS全球技術支援與研發中心研究指出,今年四月份台灣用戶造訪惡意連結的次數累計超過800萬次,躍上全球第三的排名,僅次於日本及美國。研究報告也同步指出,全球四月份所監測到惡意程式最多的國家分別是美國、日本、澳洲、巴西和台灣,其中台灣單月也有超過500萬個惡意程式到處肆虐,駭客攻擊方興未艾仍然為資安隱憂!
上述的研究數據顯示台灣在資訊安全的管理上仍是『高危險群』,今年四月份台灣上網族群造訪惡意連結的次數,相較於一月份成長1.5倍之多。事實上,隨著越來越多人會透過各種行動裝置在辦公室以外的環境工作,如:咖啡廳、機場、飯店或家中等,當駭客透過惡意連結進而駭入使用者的裝置時,遭受感染的裝置恐成為不法之徒入侵企業內部網路的跳板,進而對企業內部網路安全造成威脅。
近年來新興科技如物聯網的廣泛應用,數據及資料的流動與安全儼然已是一個複雜且日趨重要的課題,趨勢科技呼籲,台灣企業必須更積極重視網路安全的管理及資料保護,特別是上月25日歐盟通用資料保護法 (GDPR-General Data Protection Regulation)正式上路之後,全球經營者皆應重新檢視企業內部對於資料保護的對應做法,除了提高員工的資安意識及加強組織內部對資安與資料隱私的要求。趨勢科技建議企業可採用具備進階能力、完善偵測引擎的資安產品來協助企業集中控管並防禦最新威脅。像是趨勢科技XGen™防護能提供跨世代融合的威脅防禦技巧,保護資料中心、雲端環境、網路及端點,協助企業在高風險的網路使用環境下,能夠獲得最佳的保護。
建構更妥善的資料保護,避免違反 GDPR 歐盟資料保護法規範(含資料圖表)
一般資料保護規則 (GDPR) 經過四年審議之後於 2016 年 4 月通過,目前已經實施。這項規範成為全球各地的熱門話題,其中採用更嚴格的資料保護標準,並訂定高額罰款,而最令人注意的是涵蓋範圍相當廣大。GDPR 對持有歐盟公民個人資料的任何組織造成影響,不論其規模或地點為何。位於亞洲地區的公司,以及分公司遍佈歐洲的跨國企業,只要收集及處理歐盟公民資料,就要負責遵循法規。
這項規範也描述受影響組織的資料保護義務,其中包括採用最先進的安全措施,乃至於讓使用者對自己的資料享有更多的存取及控制權利。由於需要全面變革才能遵循法規,歐盟主管機關提供兩年的時間,讓各會員國及組織有時間做好準備。現在過渡期已經結束,GDPR 正式實施。
現在會發生什麼事情?
實施法規代表組織應已依據 GDPR 處理個人資料,包括當事人權利條款在內。歐盟會員國的資料保護主管機關 (DPA) 也已能夠針對未遵循法規的組織開罰。視會員國而定,主管機關可採取立即行動因應任何未遵循法規事件。不過部分規範組織計畫以更溫和的態度,處理已經開始但尚未完成法規遵循工作的企業及組織。
最糟情況是什麼?組織要為未遵循法規造成的損害負責,並遭受對應的行政罰款。罰款最重高達 2 千萬歐元或 4% 年度營業額,以較高者為準。
最理想情況是什麼?若組織完全遵循 GDPR,或使用規範作為起始點超越最低標準,將享有重大優勢。其中部分效益包括:安全無虞的寶貴資訊、以適當的封存及資料管理提升營運效率,以及加強客戶及使用者的信任度。
雖然 GDPR 適用於歐盟公民的個人資料,但也引發全球各地變革隱私權規範。2018 年實施 GDPR 之後,有多個國家也加強本身國內法規,例如英國及澳洲在內的多個地區,也更新了本身的資料保護法。這代表 GDPR 法規遵循提供一項大好機會,不論是跨國企業還是小型組織,都能趁此跟上全球在資料隱私及先進安全技術方面的進展。
組織應如何應對?
在理想情況下,組織現在應已完成法規遵循的所有基礎工作,也應已完成法規遵循核對清單的所有項目。組織應能提供各項產品或服務,因應 GDPR 概述的客戶權利。使用第三方應用程式或供應商的組織應留意「被遺忘權」及更嚴格的使用者同意標準等議題的最新內容,確保能夠適當運作。多項法律及軟體變更也預期自即日起或未來幾個月內生效,組織應做好準備面對任何必要變更。 繼續閱讀