龐大到媒體帝國,平民至便利商店,每家公司都紛紛將自己推到網路上,用最快也最具成本效益的方式來接觸他們的客戶。這是社群網路所帶來的好處,也是企業們駐足的地方。但你知道社群網路對企業來說是有風險的嗎?不管它們的規模大小。
事實一
各種規模、類型的企業都正在採用社群媒體。
並不是只有大型企業才會使用社群媒體,小型企業也會。在美國,大多數(58%)中小企業主會在社群媒體管道上發展網路及進行互動。註1
Facebook上的公司網頁對中小企業來說是排名最高的社群媒體管道(29%),其次是在Facebook社團上互動或張貼消息(23%),然後是在產業相關社群上互動(19%)。這不難知道原因,因為這些基本上都是免費的行銷,只需要有電腦跟網路就可以了。
中小企業肯定能夠透過社群媒體來接觸到大量的消費者。跟據ComScore統計,全球的網路人口中有84%會使用社群網站。註2 大多數人會花費五分之一的網路時間在社群網站上。在美國,社群網路的使用量幾乎增加了一倍,而在中國也增加了一半(53%)。註3
事實二
越來越多人在工作時瀏覽社群網站。
在Salary.com最近一項關於浪費工作時間的全球性調查中發現,幾乎有三分之二的人(64%)承認自己在工作時連上與工作無關的網站。在這些網站中,Facebook是最受歡迎的虛擬聚會場所(41%),其次是LinkedIn(37%)。註4
這消息其實並不令人驚訝。事實上,一項趨勢科技在美國針對709名受訪者所做的IT資安人員問卷調查中發現,有54%的員工在工作時因為個人因素而使用社群媒體。而中小型企業的員工中有超過五分之三這樣做。註5
46%的人:在工作時不會因為個人因素使用社群媒體
54%的人:在工作時會因為個人因素使用社群媒體
事實三
社群網路威脅即使對小型企業也是一視同仁。
中小企業應該要知道,不管是大是小,它們也不能倖免於社群媒體威脅。中小企業員工就跟其他多數使用者一樣,也會落入社群媒體上的惡意陷阱。
假WhatsApp Facebook網頁>詐騙訊息顯示其他應該是WhatsApp的使用者>網頁導向偽造的星巴克行銷網頁>假Facebook版WhatsApp網頁
舉例來說,二〇一二年八月在Facebook上流傳的偽裝的WhatsApp應用程式。註6 這個特定攻擊會將受害者導到一個假造的WhatsApp Facebook網頁,並要求授權給應用程式。一旦使用者開放權限,網頁會出現其他應該是WhatsApp應用程式的使用者,並重新導到使用者協議網頁。就跟山寨版Instagram和Angry Birds Space憤怒鳥等應用程式一樣,這威脅似乎是針對行動用戶。
另一個相關的威脅,我們也看到有偽WhatsApp Messenger會存取使用者的好友聯絡資料。這詐騙攻擊最終會將自身散播到受害者的朋友。
員工們不一定要瀏覽社群網站才會成為社群媒體攻擊下的犧牲品。一個出現在二〇一二年九月的類似攻擊,會誘騙垃圾郵件(SPAM)收件者點入假造的LinkedIn邀請連結,將他們導到藏有黑洞漏洞攻擊包(Blackhole Exploit Kit)的網站。註7 黑洞漏洞攻擊包被用在全世界的垃圾郵件攻擊裡,而且以可以針對電腦上有弱點的程式來客製化攻擊而著稱。
事實四
網路犯罪分子可以透過社群媒體來收集企業及其員工的敏感資訊。
如前所述,越來越多員工會在工作時使用社群網站。而網路犯罪分子也會利用一個現象,就是企業會利用社群媒體跟客戶還有潛在客戶溝通。
只要簡單地追蹤公司和其員工在社群網路上的習慣,網路犯罪分子就能夠輕易地收集組織想要保持機密的資訊。註8 只要匯集Twitter上的推文、部落格文章還有粗心大意員工的狀態更新,就可以整理出不經意流露出的公司機密,像是關鍵人物的身份,甚至是財務狀況和內部問題。
事實上,趨勢科技的問卷調查顯示,有57%的中小企業員工會在社群網路上透露公司問題。註9 除非去採取動作,不然公司員工可能會將機密資料洩漏給幾乎任何人,包括網路犯罪份子,僅僅只是因為發布狀態更新這動作。
事實五
工作時使用社群網路應加以規範,以保護你的企業免受攻擊。
社群網路會讓中小企業暴露出特定的弱點。因此,必須採取特殊措施來確保關鍵業務資料不被外洩。中小企業無論大小,都必須制定在工作場所使用社群媒體的正式政策。
然而僅僅制定政策是不夠的,還需要嚴格執行。員工們必須了解使用社群媒體的最佳作法,以及如果不當使用的可能後果。註10
必須制定清楚簡潔的準則,沒有絲毫疑問或錯誤的空間。請記住,就算只是在任何社群網站犯下小小的錯誤,都會讓企業容易遭受攻擊,也可能導致聲譽受損。
你要如何保護你的業務?
社群網路如Facebook、Twitter和LinkedIn就在那裡。想要保護好你的業務,你所該做的就是讓你的員工了解最佳作法和準則,以最小化社群媒體所帶來的風險:
- 了解員工使用社群網路的狀況。根據趨勢科技的研究指出,有55%的中小企業員工認為瀏覽網路是沒有限制的。註11 利用中小企業趨勢科技Worry-Free Business Security來管理員工的網路使用狀況,可以防止員工瀏覽不適當的網站和下載惡意檔案。它同時也可以監控員工在每天特定時刻的網路使用狀況。
- 提供員工易於遵循的準則。不管是不是允許在工作時間使用社群網路,員工都需要知道哪些關於公司的消息是可以發表的,以及誰可以發表什麼樣的消息。當你建立你們公司的社群媒體準則時,請注意以下幾點:
- 保持道德準則,提醒員工他們是由公司僱用或付薪水的。
- 提醒客戶只能透過電子郵件或個人訊息來分享個人資訊。讓他們知道,如果他們有關於洩漏機密資訊的問題時,可以到哪得到幫助。
- 聰明地參與社群網路。只發表適合廣泛散播,符合業務目標的資訊。同時也提醒你的員工不要在網路上分享過多個人資訊。
- 提醒員工不要點入他們不認識的人所分享的可疑連結。
- 定義什麼是機密。在你的資安政策裡,機密商業資訊的保密協議必須要涵蓋社群網站如Facebook、LinkedIn、Twitter等等。
⊙原文來源:
https://www.trendmicro.com/cloud-content/us/pdfs/business/tlp-likes-links-and-lessons-learned.pdf
⊙註解:
- https://www.smb-gr.com/wp-content/uploads/2012/pdfs/2012_Impact_of_Social_Business_Study_Marketing_Overview.pdf
- https://www.comscore.com/Insights/Presentations_and_Whitepapers/2012/Social_Networking_Key_Trends_in_France_and_Worldwide_in_2012
- https://www.brandchannel.com/images/papers/534_comscore_wp_social_media_report_1212.pdf
- https://www.salary.com/wasting-time-at-work-2012/slide/3/
- https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ ponemon-survey-2012.pdf
- https://blog.trendmicro.com/trendlabs-security-intelligence/scam-disguised-as-whatsapp-for-facebook/
- https://about-threats.trendmicro.com/us/spam/398/blackhole%20exploit%20kit%20spam%20run%20using%20linkedin
- https://about-threats.trendmicro.com/us/webattack/75/spam%20scams%20and%20other%20social%20media%20threats
- https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ ponemon-survey-2012.pdf
- https://about-threats.trendmicro.com/ebooks/socialmedia-101/#/1/
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事
《資料外洩》十大員工危險行為 ~員工行動化可能帶來的資料防護災難 [含資料圖表]
